Управление финансами
документы

1. Акт выполненных работ
2. Акт скрытых работ
3. Бизнес-план примеры
4. Дефектная ведомость
5. Договор аренды
6. Договор дарения
7. Договор займа
8. Договор комиссии
9. Договор контрактации
10. Договор купли продажи
11. Договор лицензированный
12. Договор мены
13. Договор поставки
14. Договор ренты
15. Договор строительного подряда
16. Договор цессии
17. Коммерческое предложение
Управление финансами
егэ ЕГЭ 2017    Психологические тесты Интересные тесты   Изменения 2016 Изменения 2016
папка Главная » Экономисту » Управление рисками интернет-банкинга

Управление рисками интернет-банкинга



Управление рисками интернет-банкинга

Для удобства изучения материала статью разбиваем на темы:

Внимание!

Если Вам полезен
этот материал, то вы можете добавить его в закладку вашего браузера.

добавить в закладки

  • Принципы управления рисками
  • Идентификация и оценка рисков
  • Универсальная рейтинговая система для оценки эффективности информационных технологий
  • Оценка рисков безопасности систем интернет-банкинга
  • Способы нейтрализации рисков интернет-банкинга: обеспечение информационной безопасности и защиты операций и данных

    Принципы управления рисками

    Повсеместное развитие дистанционного банковского обслуживания позволило повысить доступность банковских услуг для различных секторов клиентов и существенно расширить их ассортимент. Уже стали традиционными такие операции, как доступ к финансовой информации, получение ссуд и открытие депозитных счетов через Интернет, услуги по электронной оплате счетов, персональные финансовые «порталы», агрегирование счетов и рыночные места для операций между банками и биржей.

    Широкое признание Интернета в качестве канала для доставки банковских продуктов и услуг, открывая банкам новые операционные возможности, увеличивает и сопутствующие банковской деятельности риски.

    Как отмечалось в предыдущей главе, интернет-банкинг не порождает каких-либо новых видов рисков, которые не были бы идентифицированы банками в результате предоставления услуг через классические точки продаж (банковские офисы). Тем не менее, электронные банковские услуги увеличивают и модифицируют некоторые из традиционных рисков, тем самым оказывая воздействие на общие параметры риска банков. В частности, в результате технологических нововведений существенное значение для банка начинают играть стратегический, операционный риски и риск потери репутации.

    Следует понимать, что особенности электронных банковских услуг (и электронных коммерческих услуг в более общем плане) порождают целый ряд проблем управления рисками. Во-первых, инновации в сфере технологии и обслуживания клиентов посредством предоставления электронных банковских услуг внедряются высокими темпами. В историческом плане, новые банковские прикладные программы применялись на протяжении сравнительно длительного периода времени, и только после тщательных испытаний. Сегодня банки, испытывая давление со стороны конкурентов, внедряют новые операционные прикладные программы в сжатые сроки — зачастую всего в течение нескольких месяцев с зарождения концепции до внедрения ее в производство. Эта тенденция не позволяет проводить адекватные стратегические оценки, анализ степени риска и проверки безопасности до того, как внедрять новые банковские прикладные программы.

    Во-вторых, операционные web-сайты электронных банковских услуг и связанные с этим прикладные программы для розничной и оптовой торговли, как правило, интегрируются, насколько это максимально возможно, с имеющимися в распоряжении компьютерными системами для обеспечения прямой сквозной обработки электронных транзакций. Несмотря на то, что такая прямая сквозная автоматизированная обработка снижает возможности субъективной ошибки и мошенничества, присущие процессам ручной обработки, она увеличивает зависимость от надежности структуры и архитектуры систем, равно как и от их операционной совместимости и масштабности.




    В-третьих, электронные банковские услуги увеличивают зависимость банков от информационной технологии, приводя тем самым к возрастанию технической сложности многих операционных проблем и проблем безопасности и усиливая тенденцию к более тесному партнерству, союзам и к заключению соглашений с третьими сторонами на выполнение некоторых управленческих функций. В результате создаются новые деловые модели, охватывающие банки и небанковские хозяйственные организации, подобные провайдерам услуг по Интернету, телекоммуникационным компаниям и прочим технологическим фирмам, которые находятся вне сферы банковского регулирования и надзора.

    В-четвертых, Интернет сам по себе является повсеместной и глобальной по своему характеру сетью. Это — открытая сеть, доступная из любой точки мира для организаций или персоналий, которые неизвестны банку, с маршрутизацией сообщений через неизвестные месторасположения и посредством быстро развивающихся беспроводных средств. Это существенным образом увеличивает важность и одновременно сложность систем контроля за обеспечением безопасности, методов аутентификации клиентов, защиты данных и норм соблюдения клиентской тайны.

    Таким образом, хотя традиционные принципы управления рисками в банковской деятельности и могут быть применимы к электронным банковским операциям, сложные характерные особенности канала распространения услуг по Интернету предписывают, что применение этих принципов должно быть специально приспособлено для того, чтобы соответствовать многим банковским операциям в режиме онлайн и отвечать решению связанных с ними проблем управления рисками. На советах директоров и высшем руководстве банков лежит ответственность

    за принятие мер, направленных на обеспечение того, чтобы их учреждения анализировали и изменяли в случае необходимости свою существующую политику и процессы управления рисками для охвата своих текущих или планируемых электронных банковских операций.

    Банкам следует использовать интегрированный подход к управлению рисками при осуществлении всех банковских операций. Контроль за управлением рисками, возникающими в связи с электронными банковскими операциями, должен стать неотъемлемой частью общей структуры управления рисками кредитной организации.

    Банкам необходимо разрабатывать процессы управления рисками, соответствующие их индивидуальным риск-параметрам, операционной структуре и корпоративной культуре управления, равно как и в соответствии с конкретными требованиями по управлению рисками и политикой, установленными банковскими надзорными органами в их конкретных правовых сферах. Кроме того, банки, создавая системы контроля за безопасностью и прочие методы управления рисками, не должны отставать от новых технологий и способов их применения в коммерческих целях. Иными словами, системы контроля и безопасности должны быть адекватными технологическим нововведениям.

    Принципы управления рисками интернет-банкинга были впервые сформулированы Базельским комитетом по банковскому надзору в документе, получившем соответствующее название — «Принципы управления рисками для предоставления банковских услуг в электронной форме». Следует отметить, что Комитет не определяет документ как абсолютное требование или даже описание «наилучших решений» для банков, поскольку установка детальных требований к управлению рисками в сфере электронного банкинга может оказаться неблагоприятным фактором ввиду того, что они могут быстро устареть из-за скорости изменений, связанных с технологическими инновациями и видами услуг. Поэтому принципы управления рисками, сформулированные Базельским комитетом, являются скорее рекомендациями для кредитных организаций, осуществляющих интернет-банкинг в области построения надлежащей системы безопасности применения интернет-технологий.

    Принципы управления рисками интернет-банкинга классифицируются на три группы:

    1)            для Совета директоров и Правления банка;

    2)            для выбора и адекватного функционирования средств обеспечения безопасности;

    3)            для повышения значимости управления правовым и репутационным рисками.

    Такое деление не случайно и предопределяется иерархией приоритетов в области управления рисками.

    Так, Совет директоров и Правление банка отвечают за разработку деловой стратегии учреждения и организацию эффективного управленческого наблюдения за рисками. Предполагается, что они принимают четкие, обоснованные и формализованные стратегические решения относительно того, будет ли в будущем предоставлять банк услуги в рамках электронного банкинга и если да, то каким именно образом. Первоначальное решение о возможности развития интернет-банкинга банком должно получить адекватную поддержку разработок по вопросам возможности учета, политики и средств контроля в отношении сопутствующих рисков, включая те, которые связаны с трансграничными операциями. Считается, эффективное управленческое наблюдение должно включать в себя обзор и подтверждение ключевых аспектов процесса контроля безопасности в банке, таких как разработка и сопровождение инфраструктуры контроля безопасности, которая должным образом защищает системы интернет-банкинга и данные, как от внутренних, так и от внешних угроз. Оно должно также включать полноценный процесс для управления рисками, ассоциируемыми с повышенной сложностью и возрастающей зависимостью от контрагентских отношений и зависимостью от сторонних организаций в части выполнения критических функций в рамках интернет-банкинга.

    Совет директоров несет ответственность за политику управления рисками при осуществлении операций электронного банкинга, наличие необходимых процессов контроля безопасности, в свою очередь Правление банка должно обеспечить надлежащее содержание этих процессов. Это означает введение должных правил авторизации и способов аутентификации, средств контроля логического и физического доступа, построение адекватной структуры безопасности для поддержания необходимых допусков и ограничений в части действий как внутренних, так и внешних пользователей, а также целостности транзакций, записей и информации. Кроме этого, банку следует ввести культуру поддержания аудиторских записей для всех транзакций и принять меры по соблюдению конфиденциальности клиентской информации в рамках электронного банкинга, соответствующие значимости такой информации.

    Банки несут ответственность за обеспечение своим клиентам того или иного уровня удобств в части предоставления информации, защиты клиентских данных и доступности операций, который близок ожидаемому ими уровню при пользовании традиционными каналами предоставления банковских услуг. В этой связи для банков особое значение приобретает правовой и репутационный риски. Для их минимизации банки должны обеспечивать адекватное представление информации на своих web-сайтах и принимать необходимые меры, гарантирующие соответствие требованиям конфиденциальности со стороны клиентов в рамках национального банковского законодательства.

    Соответственно, для минимизации правового и репутационного рисков, услуги в рамках интернет-банкинга кредитной организации следует предоставлять на согласованной и своевременной основе в соответствии с ожиданиями клиентов относительно, безусловно гарантированного постоянного и быстрого доступа, а также потенциально высокой потребностью в транзакциях. Банк должен быть способен предоставлять услуги в рамках электронного банкинга всем конечным пользователям и поддерживать такую доступность при любых обстоятельствах. Эффективные механизмы реагирования на происшествия тоже являются критическими для минимизации операционного, правового и репутационного рисков, возникающих из-за неожиданных событий, включая внутренние и внешние атаки, которые могут влиять на обеспечение функционирования систем электронного банкинга и предоставление услуг. Для удовлетворения потребностей клиентов, таким образом, банкам следует организовать эффективное планирование своих возможностей, обеспечение непрерывности операций и реагирование на неожиданные события. В том числе банкам следует разработать полноценные планы парирования случайностей, включая план восстановления связи, гарантирующий непрерывность операций, контроль репутационного риска и ограничение обязательств, связанных с прерыванием обслуживания интернет-банкинга.

    Первая группа принципов управления рисками электронного банкинга получила название «Наблюдение со стороны Совета и руководства» и включает в себя три основных принципа (1—3).

    Принцип 1. Эффективное наблюдение со стороны руководства за деятельностью в рамках электронного банкинга. Адекватное управленческое наблюдение принципиально важно для обеспечения эффективного внутреннего контроля за деятельностью банка в рамках электронного банкинга. При разработке политики управления рисками банку следует принимать во внимание особенности интернет-банкинга. Прежде всего, это тот факт, что канал предоставления услуг (собственно сеть Интернет) не поддается непосредственному контролю со стороны банка. Интернет дает возможность предоставлять услуги в различных точках мира, включая те страны, в которых нет физического присутствия банковского офиса. Кроме того, интернет-банкинг апеллирует концепциями и описаниями языков высоких технологий, которые во многих случаях оказываются незнакомыми для высшего руководства банка, имеющего опыт предоставления услуг по традиционным каналам продаж.

    Соответственно, ввиду уникальных характеристик интернет-банкинга новые проекты в этой области должны подвергаться соответствующему стратегическому и стоимостному анализу. Без адекватного изучения и текущей деятельности по планированию процедур интернет-банкинга кредитная организация рискует недооценить затраты или, наоборот, переоценить доходы от их введения.

    Помимо этого, Совету и высшему руководству следует удостовериться в том, что их банк не включается в новый бизнес в сфере электронного банкинга или не внедряет новые технологии без наличия необходимых знаний для обеспечения компетентного наблюдения за управлением рисками. Знания руководства и персонала должны быть соразмерны технической природе и сложности применяемых данным банком технологий электронного банкинга и соответствующих приложений. Адекватная квалификация является принципиально важной независимо от того, находятся системы электронного банкинга и соответствующие виды обслуживания под собственным управлением банка или эти функции переданы третьим сторонам (аутсорсинг). Процессы наблюдения со стороны высшего руководства следует осуществлять на постоянной основе, чтобы обеспечивалось эффективное вмешательство и коррекция любых материальных проблем с системами электронного банкинга или недостатков в обеспечении безопасности, которые могут иметь место. Повышенный репутационный риск, связанный с электронным банкингом, приводит к необходимости непрекращающегося мониторинга системной функциональности и удовлетворения требований пользователей, так же как должного информирования о происшествиях Совета директоров и Правления банка.

    Совету директоров следует убедиться в том, что организованные им процессы управления рисками для деятельности в рамках электронного банкинга интегрированы в общий подход данного банка к управлению рисками. Существующие в банке политика и процессы управления рисками должны быть оценены с точки зрения гарантии того, что они достаточно устойчивы, чтобы нейтрализовывать риски, возникающие из-за текущей или планируемой деятельности в области электронного банкинга.

    Дополнительные меры по наблюдению за управлением рисками, которые следует принять во внимание Совету и Правлению банка, включают в себя:

    -              четкое определение приемлемого уровня риска для данной банковской организации в рамках интернет-банкинга;

    -              определение ключевых механизмов распределения полномочий и предоставления отчетности, включая необходимые процедуры для тех случаев, которые влияют на безопасность, надежность или репутацию банка (к примеру, сетевое проникновение, нарушение правил безопасности со стороны работников и любое серьезное нарушение в использовании компьютерных средств);

    -              обращение внимания на любые особенные факторы риска, ассоциируемые с гарантиями безопасности, целостностью и доступностью услуг и видов обслуживания в части интернет-банкинга и требующие принятия адекватных мер со стороны тех контрагентов, которым банк доверил обслуживание ключевых систем или прикладного программного обеспечения;

    -              проведение необходимого анализа выполнения обязательств и рисков, до того как банк начнет осуществление транзакционных операций в рамках интернет-банкинга.

    Интернет в значительной степени расширяет возможности банков по распространению услуг и видов обслуживания на виртуально безграничную географическую территорию, включая пересечение национальных границ. Такая трансграничная деятельность на основе электронного банкинга, особенно при осуществлении ее без какого либо лицензированного физического присутствия в «стране дислокации», потенциально подвергает банки повышенным рискам: правовому, нормативному и страновому — ввиду значительных различий, которые могут иметь место между разными законодательствами в части требований к лицензированию банковской деятельности, надзора и защиты потребителей. Ввиду необходимости избегать непреднамеренного несоответствия законам и правилам зарубежных государств, так же как и с точки зрения управления, факторами риска, относящимися к той или иной стране, банки, совершающие трансграничные операции посредством электронного банкинга, должны полностью изучить такие риски еще до практической реализации операций такого рода и организовать эффективное управление ими.

    В зависимости от масштаба и сложности деятельности в рамках электронного банкинга охват и структура программ управления рисками будут различными для разных банковских организаций. Ресурсы, требуемые для наблюдения за обслуживанием в части электронного банкинга, следует определять в соответствии с транзакционной функциональностью и значимостью систем, уязвимостью сетей связи и важностью передаваемой по ним информации.

    Принцип 2. Организация полноценного процесса контроля безопасности. Совету директоров и высшему руководству банка следует наблюдать за разработкой и продолжением поддержания инфраструктуры контроля над безопасностью, которая обеспечивает должную защиту систем интернет-банкинга и данных, как от внутренних, так и от внешних угроз. При этом следует установить соответствующие права авторизации, логические и физические средства контроля доступа, а также обеспечить адекватную инфраструктуру безопасности для поддержания необходимых возможностей и ограничений в отношении действий внутренних и внешних пользователей.

    Защита банковских активов является одной из областей ответственности высшего руководства банка. В то же время, это представляет собой одну из проблемных задач в условиях быстро развивающейся сферы электронного банкинга ввиду комплексного характера рисков для безопасности, связанных с работой через общедоступную сеть Интернет и развитием все новых технологий.

    Чтобы гарантировать наличие должных средств обеспечения безопасности для деятельности в рамках электронного банкинга, Совету директоров банка требуется удостовериться в существовании в их банке полноценного процесса обеспечения защиты, включая политику и процедуры, которые касаются потенциальных внутренних и внешних угроз безопасности, как в части предотвращения инцидентов, так и в части реагирования на такие происшествия.

    Ключевыми компонентами эффективного процесса обеспечения безопасности электронного банкинга являются:

    -              установление определенной ответственности руководства и персонала за качеством наблюдения и соблюдением корпоративной политики безопасности;

    -              наличие достаточно эффективных средств физического контроля для предотвращения несанкционированного физического доступа к компьютерному оборудованию;

    -              наличие средств логического контроля и процессов мониторинга для предотвращения неавторизованного внутреннего и внешнего доступа к прикладным программам и базам данных электронного банкинга;

    -              регулярный пересмотр и тестирование мер безопасности и средств контроля, включая постоянное отслеживание современных отраслевых разработок в области безопасности и инсталляцию обновленных версий соответствующего программного обеспечения, служебных пакетов.

    Принцип 3.  Организация полноценного и непрерывного процесса наблюдения за выполнением обязательств и управлением отношений банка с провайдерами услуг и прочими организациями, обеспечивающими поддержку выполнения операций интернет-банкинга. Повышенная зависимость от партнеров и сторонних провайдеров услуг при осуществлении функций в рамках электронного банкинга снижает возможности непосредственного контроля за ними со стороны руководства банка. Соответственно, процесс управления рисками, ассоциируемыми с заказной обработкой информации и транзакций и обусловленными зависимостью от других сторонних организаций, должен получить всеобъемлющий характер. Иными словами, процесс управления рисками интернет-банкинга должен охватывать стороннюю деятельность партнеров и провайдеров обслуживания, включая суб-контракты на заказную обработку транзакций и информации, которые могут иметь материальные последствия для банка.

    Следует учитывать тот факт, что внешнее обслуживание операций электронного банкинга может передаваться по суб-контрактам дополнительным провайдерам услуг и (или) осуществляться в другой стране. По мере технологического развития и роста стратегической важности приложений и видов обслуживания электронного банкинга его определенные функциональные участки оказываются зависимыми от небольшого числа специализированных сторонних поставщиков и провайдеров услуг. Эти разработки могут привести к повышенной концентрации рисков, которая должна учитываться не только банком, использующим эти разработки, но и его партнерами, поскольку в этом случае возникают угрозы со стороны системного риска.

    В совокупности все эти факторы подчеркивают необходимость всеобъемлющих и постоянных анализа и оценки связей в рамках заказной обработки транзакций и информации, других видов внешней зависимости, включая возможное их влияние на профиль риска банка и возможности контроля за управлением рисками.

    Наблюдение со стороны Совета и высшего руководства банка за связями в части заказной обработки и зависимости от сторонних организаций следует фокусировать на обеспечении:

    -              полного понимания банком рисков, которые связаны с вовлечением в заказную обработку информации и транзакций или партнерскими отношениями с провайдерами;

    -              своевременной проверки компетентности и финансовой устойчивости всех сторонних провайдеров услуг или партнеров, проводимой до заключения каких либо контрактов на обслуживание в рамках интернет-банкинга;

    -              точного определения контрактной подотчетности всех участников заказной обработки информации и транзакций или партнерских отношений. К примеру, должны быть четко определены обязанности по предоставлению информации провайдеру услуг и, наоборот, получению от него информации;

    -              учета всех операций и систем электронного банкинга, связанных с заказной обработкой информации и транзакций, в концепциях управления рисками, обеспечения безопасности и соблюдения конфиденциальности, которые удовлетворяют стандартам, принятым в данном банке;

    -              проведения периодического независимого внутреннего и (или) внешнего аудита заказных операций, по меньшей мере, в том же объеме, который требовался бы, если бы такие операции проводились в традиционном банковском офисе;

    -              наличия должных планов на случай непредвиденных обстоятельств для деятельности в рамках электронного банкинга, осуществляемой в заказном порядке.

    Следующие семь принципов управления рисками (4—10) сгруппированы Базельским комитетом по банковскому надзору в тематическую категорию «Средства обеспечения безопасности». Такая категория представляет особую значимость вследствие повышенной сложности технологий, применяемых при операциях интернет-банкинга, поэтому для банка актуальными становятся вопросы аутентификации клиентов, целостности данных и транзакций, разделения обязанностей, использования средств управления авторизацией, поддержания аудиторских записей, а также конфиденциальности банковской информации.

    Принцип 4. Аутентификация клиентов в операциях интернет-банкинга. Под аутентификацией понимают методы, процедуры и процессы, используемые для подтверждения идентичности и авторизации ожидаемых и установленных пользователей. Помимо аутентификации банки должны принимать меры по идентификации и авторизации клиентов, с которыми они осуществляют деловые операции через сеть Интернет.

    Понятие идентификации включает в себя меры по установлению идентичности клиентов при открывании ими счетов, а понятие авторизации — процедуры, используемые банком для определения того, обладает ли клиент или сотрудник разрешенным доступом или полномочиями для проведения транзакций, связанных с конкретными счетами.

    В банковском деле принципиально важно подтверждение того, что конкретный запрос на взаимодействие (связь), транзакцию или доступ имеет легитимный характер. Соответственно, банкам следует применять надежные методы для верификации идентичности и авторизации новых клиентов, так же как и аутентификации идентичности и авторизации зарегистрированных клиентов, обращающихся за проведением электронных транзакций.

    Верификация клиентов при определении происхождении счета важна для снижения риска хищений идентификационных данных, мошеннических действий со счетами и «отмывания денег». Если банк не может адекватно аутентифицировать клиентов, то в результате возможно получение несанкционированного доступа к счетам по операциям электронного банкинга и в конечном итоге финансовые потери и ущерб для репутации банка из-за мошенничества, утечки конфиденциальной информации или непреднамеренного вовлечения в преступную деятельность.

    Установление и аутентификация идентичности того или иного лица, а также авторизация доступа к банковским системам в условиях полностью открытой электронной сети связи может оказаться трудной задачей. Легитимная авторизация пользователя может быть фальсифицирована с помощью разнообразных методов — мистификаций (spoofing). Хакеры могут имитировать легитимного клиента за счет использования его номера счета, пароля, персонального идентификационного номера (ПИН) и (или) адреса электронной почты. Онлайновые хакеры могут также перехватить сеанс легитимно авторизованного лица, используя программу «вынюхивателя» (sniffer), которая дает им возможность «просмотреть» поток данных, передаваемых по каналу связи, перехватить пароли и данные при их передаче и соответственно выполнять любые действия с ними, в том числе вредоносного или криминального характера. Помимо прочего, процессы контроля аутентификации могут быть обойдены посредством воздействия на базы данных, хранящие аутентификационные сведения.

    Соответственно, критичным является то, чтобы банки имели оформленные политику и процедуры, определяющие необходимую методологию (или методики), для того чтобы гарантировать осуществление аутентификации идентичности и авторизации прав того или иного лица, агента или системы на должном уровне с помощью уникальных технологий. В число аутентифицированных систем включаются и собственные web-сайты банка. Кредитная организация должна также гарантировать исключение участия в процессе аутентификации неавторизованных лиц или систем.

    Банки могут применять разнообразные методы для осуществления аутентификации, включая ПИНы, пароли, микропроцессорные карты, биометрику и цифровые сертификаты. Так, банк может выдавать цифровые сертификаты с использованием инфраструктуры открытых ключей (ИОК) для клиента, чтобы обеспечить безопасность связи. Кроме того, банком могут быть использованы и многопараметрические методы аутентификации, которые обеспечивают большую гарантию безопасности. Многопараметрическая аутентификация включает в себя использование, как пароля, так и биометрических технологий. Технология биометрики представляет собой автоматизированную проверку физиологических или бихевиорических характеристик, используемых для идентификации и (или) аутентификации личности. Общепринятые формы биометрических технологий включают портретное сканирование, распознавание отпечатков пальцев, сканирование радужной оболочки глаз, сканирование сетчатки глаза, сканирование рук, сканирование подписи, опознавание голоса и динамики нажатия клавиш. Системы биометрической идентификации обеспечивают очень точную аутентификацию, но вместе с тем могут значительно усложнить этот процесс по сравнению с другими методами идентификации/аутентификации.

    Банк самостоятельно определяет, какие методы аутентификации он будет применять. Решение принимается на основе оценки руководством банка риска, возникающего в результате использования системы интернет-банкинга в целом или каких-либо ее составных компонентов. В процессе анализа риска обычно оценивают пропускную способность системы электронного банкинга (например, по переводам средств, платежам, запросам на ссуды, агрегации счетов и т.д.), значимость и значение хранимых данных по операциям электронного банкинга, а также удобства для клиентов при использовании принятого метода аутентификации.

    Надежные процессы идентификации и аутентификации клиентов особенно важны в контексте трансграничных операций с применением технологий электронного банкинга, учитывая осложнения, которые могут возникнуть при осуществлении электронных операций с клиентами через национальные границы, включая повышенный риск обезличивания индивидуальности и большие затруднения в выполнении эффективных проверок при предоставлении кредита потенциальным клиентам.

    Поскольку методы аутентификации продолжают совершенствоваться, банкам рекомендуется отслеживать и перенимать используемые в отрасли надежные методы работы в данной части.

    При выборе методов банк должен обращать внимание на следующие их показатели:

    -              защита аутентификационных баз данных, которые предназначены для организации доступа к счетам клиентов электронного банкинга или важным системам, от изменения и повреждения. Любое подобное воздействие должно обнаруживаться, при этом должны вестись аудиторские записи для документирования попыток такого рода;

    -              должная авторизация любых добавлений, удалений или изменений в аутентификационной базе данных для того или иного лица,

    агента или системы, с помощью какого либо источника аутентификационных данных, в том числе электронных средств;

    -              осуществление должных мероприятий для контроля подключений к системе интернет-банкинга, таких чтобы кто то неизвестный со стороны не мог подменять известных клиентов;

    -              поддержание безопасности аутентификационного сеанса в рамках электронного банкинга во время всей его длительности или затребование повторной аутентификации в случае ошибок в защите.

    Принцип 5. Отсутствие отказов от проведения операций и возможность учета для транзакций, осуществляемых в рамках интернет банкинга. Данный принцип управления рисками означает, что банкам следует использовать те методы аутентификации транзакций, которые способствуют невозможности отказа от операций (доказательного подтверждения операции) и обеспечивают возможность учета транзакций в рамках интернет-банкинга.

    Невозможность отказа от операции обеспечивается за счет формирования доказательства по ее источнику или предоставлению информации в электронной форме для защиты отправителя от ложного отрицания получателем того, что конкретные данные были получены, или для защиты получателя от ложного отрицания отправителем того, что конкретные данные были отправлены. Риск отрицания транзакций уже стал реальностью в таких обычных транзакциях, которые осуществляются посредством кредитных карточек, или при транзакциях ценных бумаг. В то же время технология электронного банкинга увеличивает этот риск ввиду сложностей с положительной аутентификацией идентичности и полномочий тех, кто инициирует транзакции, возможностей воздействия на электронные транзакции и их перехват, а также возможностей для пользователей технологий электронного банкинга заявлять, что их транзакции подверглись мошенническому воздействию.

    Для нейтрализации вышеуказанных угроз банкам требуется принимать немалые усилия, соразмерные со значимостью и типами конкретных транзакций в рамках интернет-банкинга для обеспечения следующих критериев безопасности:

    -              уменьшение вероятности инициирования авторизованными пользователями непреднамеренных транзакций, и обеспечение полного понимания клиентами тех рисков, которые связаны с любыми инициируемыми ими транзакциями;

    -              положительной аутентификации всех участников конкретной транзакции и поддержание контроля над аутентифицированным каналом взаимодействия;

    -              защита данных о финансовых транзакциях от воздействия извне и своевременное обнаружение любых воздействий такого рода.

    Кредитные организации в настоящее время применяют разнообразные способы, содействующие обеспечению доказательности и гарантированной конфиденциальности транзакций в рамках интернет банкинга. К ним относятся и цифровые сертификаты с использованием инфраструктуры открытых ключей. Применение данных сертификатов предполагает, что каждая сторона обладает парой ключей шифрования: личным и открытым. Личный ключ является скрытым, так чтобы им пользовался только один человек. Открытый ключ используется всеми участниками. С помощью личного ключа генерируется цифровая подпись к документу, а сама ключевая пара сконструирована таким образом, что сообщение, зашифрованное с личным ключом, может быть прочитано только с помощью второго ключа. Банк может сам действовать как орган сертификации или полагаться на стороннюю доверенную организацию в части снабжения того или иного лица либо контрагента конкретным цифровым сертификатом. Однако если банк получает цифровой сертификат для обеспечения аутентичности со стороны, то он должен убедиться в том, что орган, выдавший этот сертификат, обеспечивает тот же уровень аутентификации, который гарантировал бы сам банк при аутентификации личности. Основным недостатком систем аутентификации с инфраструктурой открытых ключей является то, что ее сложнее реализовать.

    Банк может выдать цифровой сертификат клиенту или контрагенту для обеспечения их уникальной идентификации/аутентификации и уменьшить риск отрицания транзакций. При этом не во всех случаях законодательство признает правомочность цифровых подписей, а в некоторых странах права клиента на отклонение транзакций предусмотрены в специальных нормативных актах. По мере эволюции банковских технологий, безусловно, будет обеспечиваться глобальное правовое признание таких способов аутентификации клиента.

    Принцип 6. Должные меры по обеспечению разделения обязанностей. Принцип предписывает банкам предоставление гарантий принятия необходимых мер по адекватному разделению обязанностей в системах баз данных и прикладных программных комплексах интернет-банкинга.

    Разделение обязанностей представляет собой основную меру внутреннего контроля, предназначенную для уменьшения риска мошенничества в операционных системах и процессах, а также обеспечения должной авторизации, фиксации и защищенности транзакций и активов своих компаний. Разделение обязанностей является критичным для гарантирования точности и целостности данных и используется для предотвращения проникновения злоумышленников. Если обязанности разделены правильно, то могут быть нейтрализованы почти все способы мошенничества, кроме тайного сговора.

    Обслуживание в рамках интернет-банкинга может привести к необходимости изменения тех способов, которыми осуществляется и поддерживается разделение обязанностей, поскольку транзакции выполняются через электронные системы, в которых действующих лиц легче замаскировать или подменить. Кроме того, в практических приложениях электронного банкинга операционные и транзакционные функции во многих случаях оказываются более комплексными и интегрированными. Вследствие этого традиционно требуемые средства управления для поддержания разделения обязанностей следует пересмотреть и адаптировать в интересах обеспечения сохранения должного уровня контроля. Ввиду того, что доступ к плохо защищенным базам данных гораздо легче получить через внутренние или внешние сети связи, необходимо сделать акцент на процедуры строгой авторизации и идентификации, безопасную и надежную архитектуру процессов сквозной обработки, а также адекватные аудиторские записи.

    В обычную практику организации и поддержания разделения обязанностей в комплексах электронного банкинга должны быть включены такие мероприятия, как:

    -              обеспечение невозможности ввода, авторизации и завершения транзакций ни для какого работника или провайдера заказных услуг при проведении банком транзакционных процессов;

    -              разделение функций между теми, кто работает со статичными данными (включая содержание web-страниц), и теми, кто отвечает за верификацию и целостность данных;

    -              тестирование систем электронного банкинга на предмет проверки невозможности обхода установленного разделения обязанностей;

    -              разделение функций между теми, кто разрабатывает, и теми, кто администрирует системы электронного банкинга.

    Принцип 7. Средства авторизации в системах электронного банкинга, базах данных и прикладных программах. Согласно этому принципу, банкам следует обеспечивать наличие должных средств авторизации и полномочий доступа для систем, баз данных и приложений интернет-банкинга.

    Для поддержания разделения обязанностей банкам необходимо строго контролировать авторизацию и полномочия доступа. Недостатки в обеспечении адекватного контроля авторизации могут дать возможность отдельным лицам расширить свои права авторизации, обойти разделение функций и получить доступ к системам, базам данных и прикладным программам электронного банкинга, к которым они не допущены.

    В системах электронного банкинга права авторизации и доступа могут устанавливаться в банках как централизованно, так и распределенным образом, и соответствующие обычно заносятся в базы данных. Защита таких баз данных от внешнего воздействия или повреждения является, таким образом, принципиально необходимой для эффективного контроля авторизации.

    Принцип 8. Целостность данных в транзакциях электронного банкинга, записях и информации. Под целостностью данных понимается гарантия того, что передаваемая или хранимая информация не подвергалась неавторизованному воздействию. Недостатки в обеспечении целостности данных в транзакциях, записях и информации могут подвергнуть банки финансовым потерям, а также значительным правовому и репутационному рискам.

    Сам характер сквозной обработки для операций электронного банкинга может затруднить обнаружение ошибок программирования или мошеннической деятельности на ранней стадии. Следовательно, важно, чтобы банки реализовали сквозную обработку, таким образом, который гарантировал бы безопасность и идентичность, а также целостность данных.

    Поскольку данные по операциям электронного банкинга передаются по открытым сетям связи, транзакции подвержены дополнительной опасности искажения данных, мошенничества и воздействия на записи. Соответственно, банкам следует обеспечивать наличие должных мер, позволяющих удостовериться в точности, полноте и надежности транзакций, записей и информации электронного банкинга, которые передаются через Интернет, размещаясь во внутренних базах данных банков и (или) передаются (хранятся) сторонними провайдерами услуг по поручению конкретного банка. В последнем случае банкам следует удостовериться, что системы хранения записей разработаны и инсталлированы таким образом, чтобы было возможно восстановить записи, которые могли подвергнуться воздействию извне или порче.

    Стандартные меры, применяемые для поддержания целостности данных в комплексах интернет-банкинга, как правило, включают в себя:

    -              проведение транзакций электронного банкинга посредством систем, обеспечивающих высокую устойчивость к внешним воздействиям на протяжении всего процесса;

    -              хранение, предоставление и модификацию записей об операциях электронного банкинга в надежном хранилище данных;

    -              разработку процессов обработки транзакций и хранения записей электронного банкинга таким образом, чтобы было фактически невозможно избежать обнаружения неавторизованных изменений;

    -              наличие адекватной политики контроля над изменениями, включая процедуры мониторинга и тестирования, для защиты против любых изменений в системе электронного банкинга, которые могут из-за ошибочных или намеренных действий повредить средствам управления или снизить надежность данных;

    -              обнаружение любого воздействия на транзакции или записи электронного банкинга с помощью функций обработки транзакций, мониторинга и обеспечения сохранности данных.

    Принцип 9. Организация формирования точных аудиторских записей для транзакций, осуществляемых в рамках электронного банкинга. Предоставление финансовых услуг через Интернет может затруднить для банков внедрение и применение средств внутреннего контроля и поддержание точных аудиторских записей, если эти меры не имеют специальной адаптации к комплексу интернет-банкинга. Банки сталкиваются с проблемами обеспечения не только внутреннего контроля в условиях значительной автоматизации, но также независимого аудита средств контроля, особенно в части всех критичных для операций электронного банкинга событий и прикладных программ.

    Условия работы внутреннего контроля банка могут быть ухудшены, если отсутствует возможность для формирования точных аудиторских записей по деятельности в рамках интернет-банкинга. Это обусловлено тем, что многие, если не все записи о таких операциях и фиксации событий осуществляются в электронной форме.

    При определении ситуаций, в которых следует обеспечивать наличие точных аудиторских записей, требуется рассматривать следующие типы транзакций в рамках электронного банкинга:

    -              открытие, изменение или закрытие счетов клиента;

    -              любые транзакции, влекущие финансовые последствия;

    -              любую авторизацию, модификацию или аннулирование прав доступа к системе или полномочий.

    Принцип 10. Конфиденциальность банковской информации. При этом меры, принимаемые для сохранения конфиденциальности, должны быть соразмерны значимости передаваемой и (или) хранимой в базах данных информации. Конфиденциальность определяется как уверенность в том, что важная информация остается скрытой в банке и не будет просматриваться или использоваться кем то кроме тех, кто имеет на это право (авторизацию). Недопустимое использование или неавторизованное раскрытие данных подвергает банк как репутационному, так и правовому рискам. Внедрение технологии интернет-банкинга приводит к появлению дополнительных проблем с безопасностью для банка, поскольку увеличивает возможности доступа к информации, передаваемой через открытую сеть связи или хранимой в базах, данных, со стороны неавторизованных или нежелательных лиц, или же использования ее такими способами, которые не предполагались клиентом, предоставившим данную информацию. Кроме того, усиленное использование услуг провайдеров может привести к раскрытию важнейших банковских данных посторонним.

    Для того чтобы нейтрализовать риски сохранения конфиденциальности банковской информации при использовании интернет-банкинга, банку необходимо гарантировать, что:

    -              доступ ко всем конфиденциальным банковским данным и информации возможен только для должным образом авторизованных и аутентифицированных лиц, агентов или систем;

    -              для всех конфиденциальных банковских данных в процессе передачи через открытые, частные или внутренние сети связи обеспечивается безопасность и защита от несанкционированного просмотра или изменения;

    -              в случаях использования заказной обработки обеспечивается соответствие стандартам и способам контроля банка над использованием данных и их защитой при получении доступа к этим данным сторонних организаций;

    -              весь доступ к данным ограниченного использования фиксируется и приняты необходимые меры по защите журналов регистрации доступа к этим данным от внешнего воздействия.

    Последняя группа принципов управления рисками интернет-банкинга (11—14) включает в себя рекомендации по управлению правовым и репутационным рисками. Обострение этих рисков в среде интернет-банкинга обусловлено различиями в законодательных актах по проведению такого рода операций, обеспечения конфиденциальности информации и правилах защиты клиента, действующих на территориях различных стран мира, интернет-банкинг позволяет преодолеть в считанные секунды расстояния и границы, однако он не отменяет действие законов стран — получателей услуг.

    Как бы то ни было, банки несут ответственность за обеспечение своим клиентам соответствия некоторым уровням требований относительно раскрытия информации, защиты клиентских данных и доступности деловых операций, которые были бы близки к тем уровням, которые они обеспечивали бы, если бы осуществляли деловые операции через традиционные каналы предоставления банковских услуг. В этой связи Базельский комитет по банковскому надзору формулирует четыре основных принципа управления рисками, которым рекомендуется следовать банкам, оказывающим услуги интернет-банкинга.

    Принцип 11. Достоверность и полнота раскрытия информации для обслуживания в рамках интернет-банкинга. Для того чтобы минимизировать правовой и репутационный риски, связанные с деятельностью в области электронного банкинга, осуществляемой как локально, так и транс-граничное, банкам еще до того как начать осуществлять транзакции в рамках электронного банкинга, следует удостовериться в том, что на их web-сайтах представлена всеобъемлющая и достоверная информация относительно самого банка и его правового статуса. Данная информация должна обеспечить возможность потенциальным клиентам сделать обоснованные заключения относительно самого банка и его организационно-правовой форме еще до проведения транзакций через систему интернет-банкинга.

    К информации такого рода относится:

    -              Название банка и сведения о местоположении его головного офиса, а также региональных офисов, если они существуют;

    -              указание на основной орган (или органы) надзора за банком, ответственный за осуществление надзора за головным офисом данного банка;

    -              способы контакта клиентов банка с его центром обслуживания клиентов, решающим проблемы с услугами, рассматривающим жалобы, подозрения в неправомочном использовании счетов и т.п.;

    -              способы контакта клиентов и общения с соответствующим наблюдательным органом или структурами, отвечающими за определение правил обслуживания потребителей;

    -              способы получения клиентами доступа к информации о возможных государственных компенсациях или страховом покрытии депозитов, а также об уровне защиты, который ими обеспечивается (или же ссылка на web-сайт с такой информацией);

    -              другая информация, которая может быть полезна или затребована в рамках конкретных юрисдикций. К примеру, банк может указать те страны, в которых он намеревается предоставлять обслуживание в рамках интернет-банкинга, или, напротив, те страны, в которых он не собирается предлагать такие виды обслуживания.

    Принцип 12. Конфиденциальность информации о клиентах. Соблюдение конфиденциальности клиентской информации является важнейшей ответственностью банка. Ненадлежащее использование или неавторизованное раскрытие конфиденциальных клиентских данных подвергает банк как правовому, так и репутационному риску. Для решения проблем, относящихся к сохранению конфиденциальности клиентской информации, банкам следует прилагать разумные усилия в обеспечение того, чтобы:

    -              в политике и стандартах банка, описывающих соблюдение конфиденциальности для клиента, были учтены и соблюдены требования всех законов и правил, касающихся конфиденциальности и применимых в пределах той юрисдикции, в рамках которой предоставляются услуги и виды обслуживания, относящиеся к интернет-банкингу;

    -              о политике соблюдения конфиденциальности банком и соответствующих вопросах соблюдения конфиденциальности, относящихся к использованию услуг и видов обслуживания, относящиеся к интернет-банкингу, были поставлены в известность, прежде всего клиенты банка;

    -              клиенты могли отклонять («вычеркивать») разрешения на предоставление банком третьим сторонам в целях перекрестного маркетинга любой информации о персональных потребностях, интересах, финансовом положении или банковской деятельности клиента;

    -              клиентские данные не использовались для целей, выходящих за пределы того, для чего их разрешено использовать, или вне целей, которые были авторизованы клиентом. Безусловно, иногда действующие законы и правила могут и не обязывать банки запрашивать разрешение клиента на использование клиентских данных для собственных целей. Однако они не отменяют необходимость предоставления возможности клиенту отменять разрешения банку на обмен такой информацией с третьими сторонами и аффилированными организациями. В некоторых странах клиенты могут обладать правом запрета банку на использование их данных для любых внутренних или внешних целей;

    -              стандарты банка в отношении использования клиентских данных соблюдались при доступе третьих сторон к клиентским данным на основе отношений в рамках заказной обработки.

    Принцип 13. Планирование производительности, непрерывности операций и на случай непредвиденных обстоятельств для обеспечения доступности систем и обслуживания в рамках интернет-банкинга. Для защиты банков от делового, правового и репутационного рисков обслуживание в рамках электронного банкинга должно предоставляться на основе непрерывности и своевременности в соответствии с ожиданиями клиентов. Для достижения этого каждый банк должен обладать возможностями предоставления услуг в рамках интернет-банкинга конечным пользователям со стороны как первичного их источника (например, внутренних банковских систем и прикладных программ), так и вторичного (например, систем и прикладных программ провайдеров тех или иных услуг). Под держание требуемой доступности зависит также от способности резервных систем обеспечения непрерывности функционирования парировать атаки типа отказа в обслуживании или другие события, которые потенциально могут вызвать прерывание деловых операций.

    Проблема поддержания непрерывной доступности систем и приложений интернет-банкинга может оказаться значительной с учетом возможного высокого спроса на проведение транзакций, особенно в периоды пиковой нагрузки. Кроме того, высокие ожидания клиентов относительно короткого цикла обработки транзакций и постоянной

    доступности (24 на 7) также повышают важность надежного планирования производительности, непрерывности деловых операций и реакции на непредвиденные ситуации.

    Для обеспечения такой непрерывности обслуживания клиентов в рамках интернет-банкинга, которую они ожидают, банкам необходимо гарантировать, что:

    -              производительность интернет-банкинга и перспективная масштабируемость анализируется с учетом общей динамики данного рынка электронной коммерции, а также предполагаемого темпа восприимчивости клиентами услуг и видов обслуживания в области электронного банкинга. Текущую и перспективную производительность критических систем доведения услуг в рамках электронного банкинга следует оценивать на постоянной основе;

    -              оценки производительности обработки транзакций в рамках электронного банкинга выполнены, проверены на максимальную нагрузку и периодически пересматриваются банком;

    -              имеются в наличии и регулярно проверяются соответствующие планы по поддержанию непрерывности деловых операций и действий при непредвиденных обстоятельствах для критических систем обработки и доведения услуг в рамках интернет-банкинга.

    Принцип 14. Планирование реагирования на случайные события. Эффективные механизмы реагирования на случайные происшествия являются принципиально важными для минимизации операционного, правового и репутационного рисков, обусловливаемых неожиданными событиями, такими как внутренние и внешние атаки, которые могут оказать влияние на функционирование систем и предоставление услуг электронного банкинга. Банкам следует разработать соответствующие планы реагирования на случайные происшествия, включая стратегию обеспечения связи, которая гарантирует непрерывность деловых операций, контроль над репутационным риском и ограничивает обязательства, ассоциируемые с прерыванием осуществляемого ими обслуживания в рамках электронного банкинга, включая те, которые связаны с использованием систем и операций в рамках заказной обработки.

    Для обеспечения эффективного реагирования на непредвиденные происшествия банкам следует сформировать: во-первых, планы реагирования на происшествия, описывающие восстановление систем и обслуживания в области электронного банкинга для различных сценариев, деловых операций и географических зон. При этом анализ сценариев развития событий, на которых основываются планы, должен включать рассмотрение вероятности возникновения риска и его влияния на конкретный банк. Неотъемлемой частью таких планов должны стать описание критериев качества и безопасности систем электронного банкинга, которые переданы сторонним провайдерам услуг.

    Во-вторых, банк должен обладать механизмами оперативного выявления происшествий или кризисных ситуаций, оценивания их материального эффекта и контроля за репутационным риском, ассоциируемым с любым прерыванием в обслуживании. К примеру, мониторинг «горячей линии» и работы службы обеспечения клиентов, а также регулярный обзор жалоб клиентов могут способствовать выявлению пробелов в информации, обнаруживаемых и регистрируемых средствами обеспечения безопасности, в сопоставлении с реальными случаями вмешательства извне.

    В-третьих, банку необходимо разработать и принять стратегию обеспечения связи для адекватного реагирования на внешние проблемы рыночного или информационного характера, которые могут возникнуть в случае нарушений безопасности, онлайновых атак и (или) отказов систем интернет-банкинга. Должна быть создана группа реагирования на происшествия, наделенная соответствующими полномочиями и имеющая достаточную профессиональную подготовку в части анализа систем выявления (парирования) происшествий и оценивания значимости, связанных с ними результатов. В стратегии и принимаемых политиках банка необходимо прописать последовательность обязательных действий, охватывающих как внутренние, так и заказные операции, чтобы гарантировать реализацию должных действий, соответствующих значимости происшедшего. Кроме того, следует разработать процедуры распространения сведений и связи о нарушениях, а также учесть информирование Совета банка в случае необходимости.

    В-четвертых, в случае происшествий, связанных с реальным ущербом безопасности или прерыванием работы посредством электронных каналов связи, в банке должен быть организован процесс уведомления соответствующих регулятивных органов о возникших проблемах.

    В-пятых, банк должен обеспечить процесс, гарантирующий, что все имеющие отношение к делу внешние участники, включая клиентов банка, контрагентов и информационные органы, будут правильно и своевременно информированы о реальных прерываниях в операциях интернет-банкинга и о работах по восстановлению данной деятельности.

    В целях минимизации правового риска банку надлежит организовать сбор и накопление учитываемых в судебных разбирательствах свидетельств, в обеспечение должного последующего анализа любого происшествия в связи с операциями интернет-банкинга, а также для содействия судебному преследованию нарушителей.

    Вышеперечисленные принципы являются опорными пунктами выстраивания комплексной системы управления рисками интернет банкинга, без которых вся последующая работа банка по идентификации, анализу, оценке и минимизации рисков утрачивает смысл. Базельский комитет предлагает ряд примеров организации соблюдения принципов управления рисками, которые могут быть приняты к сведению банками, работающими в среде интернет-банкинга. В настоящем издании эти примеры даны в виде приложений.

    Рекомендации Базельского комитета по банковскому надзору были учтены и Банком России при разработке принципов управления рисками интернет-банкинга  для российских банков. Принципы также имеют рекомендательный характер и могут быть использованы банками, оказывающими услуги интернет-банкинга.

    Банк России определяет 14 принципов управления рисками интернет-банкинга без разделения на группы и подгруппы, как это делает Базельский комитет.

    Первый принцип рекомендует банкам организовывать управление рисками интернет-банкинга таким образом, чтобы обеспечить контроль за данным видом дистанционного банковского обслуживания в целом, в том числе в рамках функционирования аппаратно-программного обеспечения систем интернет-банкинга, осуществления отдельных операций и используемых при этом массивов банковских данных.

    Второй принцип определен как рекомендация разработки внутренних документов кредитной организации и организации управления рисками интернет-банкинга с учетом таких факторов, как:

    -              высокие темпы инновационных процессов в технологиях интернет-банкинга;

    -              рост зависимости кредитной организации от информационных технологий в целом и от эффективности построения внутрибанковских автоматизированных систем;

    -              интеграция новых интернет-технологий в действующие внутрибанковские автоматизированные системы;

    -              повышенная степень риска при осуществлении операций с применением систем интернет-банкинга ввиду возможности легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма;

    -              необходимость совершенствования процессов управления банковской деятельностью и внутреннего контроля с учетом применения интернет-технологий;

    -              необходимость повышения квалификации служащих кредитной организации и совершенствования управления рисками интернет-банкинга.

    Третий принцип касается органов управления кредитной организации.

     В целях обеспечения эффективности управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга, Совету директоров (наблюдательному совету) рекомендуется:

    -              обеспечивать точное соответствие планов внедрения и развития обслуживания клиентов с помощью систем интернет-банкинга стратегическим целям;

    -              разрабатывать и внедрять процедуры мониторинга банковских операций, осуществляемых с применением систем интернет-банкинга;

    -              осуществлять контроль за дистанционным банковским обслуживанием с применением систем интернет-банкинга, ориентированный на снижение сопутствующих рисков;

    -              внедрять и совершенствовать процессы управления рисками интернет-банкинга на основе своевременного и адекватного выявления, анализа и мониторинга возможных новых источников (факторов) рисков, связанных с усложнением внутрибанковских автоматизированных систем и появлением в информационном контуре интернет банкинга новых участников, например провайдеров;

    -              учитывать в процессе управления банковскими рисками особенности применения систем интернет-банкинга и интернет-технологий в целом наряду со специфичными для них источниками (факторами) рисков, виды и масштабы банковских операций, осуществляемых в рамках интернет-банкинга, применяемые способы анализа, контроля и обработки ордеров клиентов, состав клиентской базы в целом (с учетом возможностей легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма), а также структуру кредитной организации и распределение функций, имеющих отношение к работе в рамках интернет-банкинга;

    -              осуществлять мониторинг процессов управления интернет-технологиями в целом, разработку и внедрение процедур, реализующих данный процесс управления, наряду с созданием дополнительных средств контроля в целях управления рисками интернет-банкинга;

    -              организовывать мониторинг и обеспечивать своевременное (упреждающее) повышение производительности внутрибанковских автоматизированных систем, с помощью которых осуществляется обслуживание в рамках интернет-банкинга, по мере расширения его клиентской базы, развития предоставляемых с его помощью банковских услуг и расширения потребностей клиентов;

    -              предусматривать способы и средства обслуживания клиентов в случае неожиданного прекращения функционирования провайдеров и (или) систем интернет-банкинга, разрабатывать планы необходимых

    мероприятий на случай чрезвычайных обстоятельств и проводить регулярные проверки возможности их реализации;

    -              устанавливать порядок (правила) применения систем интернет банкинга (разработка, приобретение, документирование, ввод в эксплуатацию, эксплуатация, модернизация, вывод из эксплуатации) и выполнения реализуемых ими процедур предоставления банковских услуг.

    Банком России в качестве четвертого принципа организации надлежащего управления рисками определен круг участников (служб, служащих кредитной организации) процесса управления рисками интернет банкинга. Прежде всего, это структурное подразделение, отвечающее за внедрение и применение информационных технологий (информатизацию и автоматизацию банковской деятельности), в том числе интернет-технологий, функционирование систем интернет-банкинга, а также за взаимодействие с провайдерами и поставщиками аппаратно-программного обеспечения систем интернет-банкинга.

    Кроме того, является предпочтительным участие в процессе управления рисками интернет-банкинга структурных подразделений, отвечающих за:

    -              ведение бухгалтерского учета в кредитной организации (реализацию учетной политики), практическую реализацию алгоритмов учета в компьютерных программах, управляющих работой внутрибанковских автоматизированных систем, связанных с системами интернет банкинга, и подготовку банковской отчетности;

    -              обеспечение информационной безопасности в кредитной организации;

    -              правовое обеспечение деятельности кредитной организации;

    -              операционную работу с клиентами;

    -              соблюдение правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

    -              справочно-информационное взаимодействие с клиентами.

    В состав структурных подразделений кредитной организации, участвующих в процессе дистанционного банковского обслуживания с применением систем интернет-банкинга, служб внутреннего контроля (внутреннего аудита) и информационной безопасности, а также осуществляющих мониторинг и оценку рисков интернет-банкинга, Банк России рекомендует включать служащих, удовлетворяющих квалификационным требованиям, позволяющим обеспечивать решение задач по применению и развитию интернет-банкинга, а также понимание причин возникновения рисков интернет-банкинга. Это является пятым принципом управления рисками интернет-банкинга.

    Шестой принцип предполагает введение банком системы разграничения полномочий управления рисками интернет-банкинга таким образом, чтобы поддерживать:

    -              непрерывность управления (передачи управленческих функций в организационной структуре кредитной организации) с охватом всех процессов и процедур, необходимых для осуществления обслуживания клиентов в рамках интернет-банкинга и обеспечения его надежности за счет удержания уровней банковских рисков в допустимых пределах;

    -              доступность систем интернет-банкинга и выполнение всех функций, указанных в договорах с клиентами, а также защищенность операций и данных интернет-банкинга за счет создания и поддержания в кредитной организации необходимых для этого условий, включая надлежащее организационно-техническое обеспечение интернет-банкинга;

    -              адекватный характеру и масштабам банковских операций с применением систем интернет-банкинга порядок согласования (утверждения) внутренних документов по вопросам управления рисками интернет-банкинга.

    Рекомендации по организации распределения подчиненности и подотчетности в рамках управления рисками интернет-банкинга отражены в седьмом принципе. Банк должен обеспечить непрерывность, своевременность, полноту и адекватность информирования органов управления кредитной организации о состоянии и характеристиках аппаратно-программного обеспечения систем интернет-банкинга, о выявленных недостатках в функционировании информационного контура интернет-банкинга, о связанных с интернет-банкингом источниках (факторах) рисков, о результатах выполнения принятых решений по управлению банковскими рисками. Кроме того, органы управления банка должны иметь представление о процедурах реагирования на возможные события, которые могут негативно повлиять на безопасность, финансовую устойчивость или деловую репутацию кредитной организации (например, неправомерный доступ к информационным ресурсам, нарушение правил безопасности со стороны служащих, выход из строя аппаратно-программного обеспечения систем интернет-банкинга, любые серьезные нарушения в использовании компьютерных систем) и результатах их выполнения.

    Управление рисками интернет-банкинга рекомендуется организовывать таким образом, чтобы обеспечить (восьмой принцип):

    -              я предоставление клиентам услуг интернет-банкинга на согласованной и своевременной основе;

    -              установку правил авторизации и способов аутентификации осуществляемых банковских операций;

    -              контроль логического и физического доступа к аппаратно-программному обеспечению систем интернет-банкинга;

    -              адекватную структуру обеспечения безопасности для соблюдения установленных прав и полномочий пользователей интернет-банкинга;

    -              целостность выполнения операций, записей баз данных и передаваемой в системах интернет-банкинга информации;

    -              ведение внутрисистемных компьютерных журналов для всех осуществляемых в рамках интернет-банкинга банковских операций;

    -              принятие мер по соблюдению конфиденциальности клиентской и другой внутри банковской информации, а также банковской тайны;

    -              полноту и достоверность информации, представляемой на web сайтах, используемых кредитной организацией;

    -              эффективные механизмы реагирования на сбои в обслуживании клиентов и осуществления банковских операций в рамках интернет банкинга;

    -              идентификацию клиентов, выгодоприобретателей и лица (лиц), уполномоченного (уполномоченных) распоряжаться денежными средствами, находящимися на счетах, к которым имеется доступ посредством интернет-банкинга, с использованием аналогов собственноручной подписи, кодов, паролей и других средств подтверждения наличия таких полномочий;

    -              организацию антивирусной защиты;

    -              предотвращение неправомерного доступа к информационным ресурсам кредитной организации и возможных хищений денежных средств.

    Девятый принцип: кредитной организации рекомендуется оказывать методологическую и консультационную помощь клиентам интернет-банкинга, доводить до них информацию о принимаемых ими рисках, а также необходимом комплексе мер по защите информации.

    Кредитным организациям, предполагающим оказание клиентам (в том числе находящимся за рубежом) трансграничных банковских услуг посредством интернет-банкинга, рекомендуется предварительно изучить возможные дополнительные источники (факторы) банковских рисков, связанных с нарушением законодательства зарубежных государств и (или) территорий, а также возможности учета факторов риска, относящихся к той или иной стране или юрисдикции, в том числе в соответствии с рекомендациями.

    Одиннадцатым принципом определена рекомендация Банка России о принятии решений при выборе провайдеров кредитной организации, взаимодействие с которыми необходимо для осуществления обслуживания клиентов в рамках интернет-банкинга. В частности, банку целесообразно проводить соответствующий анализ возможных банковских рисков. Рекомендуется предусмотреть резервные варианты обслуживания клиентов в рамках интернет-банкинга в случае невозможности выполнения провайдером обязательств перед кредитной организацией. Только после всестороннего учета обозначенных выше факторов банк может принять решение о сотрудничестве с тем или иным провайдером.

    Двенадцатый принцип: банку рекомендуется в рамках управления рисками интернет-банкинга разработать и внедрить непрерывные процессы наблюдения и контроля за выполнением обязательств провайдеров, участвующих в обеспечении интернет-банкинга.

    Тринадцатый принцип устанавливает объекты контроля со стороны банка для снижения влияния факторов рисков, связанных с деятельностью провайдеров по обработке банковских данных.

    В частности, банку рекомендуется установить контроль за:

    -              определением обязательств по договорам с провайдерами (например, в случае неисполнения или ненадлежащего исполнения обязательств);

    -              учетом всех операций и систем интернет-банкинга, зависящих от провайдеров, в процессах обеспечения выполнения обязательств перед клиентами, целостности банковских данных, защиты информации и соблюдения ее конфиденциальности, выявления и мониторинга банковских рисков;

    -              проведением периодического независимого внутреннего и (или) внешнего аудита содержания и оценки качества выполнения провайдерами предусмотренных договорами функций, по меньшей мере, в том же объеме, который осуществлялся бы при выполнении таких операций самой кредитной организацией.

    Последний, четырнадцатый принцип управления рисками интернет-банкинга рекомендует кредитной организации в рамках заключаемых договоров предъявлять к провайдерам требования по осуществлению внутреннего контроля и организации обеспечения информационной безопасности.

    Идентификация и оценка рисков

    Процесс оценки рисков интернет-банкинга, так же как и процесс оценки рисков, присущих традиционным банковским услугам, базируется на качественном и количественном подходах.

    Качественный подход, принятый практически во всех зарубежных банках, позволяет получать только обобщенные оценки в виде градаций уровней рисков, причем сами градации устанавливаются на основе экспертных оценок в достаточно широких интервалах. Следствием этого оказывается невозможность установить, в чем конкретно выражается негативное влияние банковских рисков на финансовое состояние отдельного учреждения, и какова причинная цепь такого влияния, в итоге невозможно точно определить и требования к уровню покрытия рисков, и возможные действия со стороны надзорных органов в адрес коммерческих банков. Достоинством такого подхода является относительная простота, хотя эффективность его практической реализации прямо зависит от полноты учета влияющих факторов.

    Количественный подход существенно сложнее, поскольку предполагает конкретизацию финансового ущерба в сопоставлении с финансовыми ресурсами самих банков и их конкурентным положением на рынке финансовых услуг. Однако он позволяет оценить возможные финансовые потери в денежном выражении, точно определить их значимость для кредитных организаций и одновременно выявить те недостатки в организации работы и операционных процессов конкретных банков, которые могут привести к этим потерям. В то же время, если качественная оценка возможна для всех видов банковских рисков, то количественные оценки могут быть получены не для всех рисков. Например, риск репутации и стратегический риск количественной оценке поддаются с трудом — оценки допускают широкие доверительные интервалы. Следовательно, итоговый размер любого агрегированного или системного банковского риска также может быть оценен только качественным методом. При этом уровни частных рисков, поддающихся количественному оцениванию, всегда могут быть интерпретированы в форму качественных оценок. За счет такой интерпретации они могут быть непосредственно включены в итоговые оценки системных рисков для конкретного банковского учреждения. Важно то, что результат учета уровней рисков прямо зависит от их соотношения с финансовыми ресурсами банка на момент выявления источников и оценивания уровней рисков.

    Таким образом, в мониторинг рисков уместно включать аналитическую и математическую часть, когда абсолютные оценки рисков интерпретировались бы с точки зрения их значимости для банка в сопоставлении с теми финансовыми ресурсами, которыми он располагает, и их структурой. Логика такого анализа основывается на том, что все перечислявшиеся частные банковские риски прямо связаны с реализуемыми в банке решениями относительно организации деятельности, разработки внутренних процедур и технических порядков, их практической реализации, организации внутреннего контроля и т.д., вплоть до аппаратно-программного обеспечения банковских операций и конкретных организационно-технических решениями. Из этого также следует, что, несмотря на типовые наборы услуг, предлагаемые большинством коммерческих банков, из-за специфических особенностей ведения банковского дела и его обеспечения каждому банку следует разрабатывать свои собственные методики выявления, анализа и мониторинга рисков интернет-банкинга. Естественно, каждая из таких методик должна разрабатываться исходя из единых для всех оснований, т.е. единообразного методологического подхода, но детализироваться в зависимости от структуры банка, содержания его деятельности, предоставляемых услуг и видов обслуживания, равно как и способов, их предоставления, применяемых технологических решений, масштабов деятельности, клиентуры, использования внешних систем связи и пр. Данный подход вполне согласуется с рекомендациям Базельского комитета по банковскому надзору.

    В то же время, как упоминалось выше, оценка рисков в абсолютном исчислении недостаточно информативна. Поэтому при их рассмотрении целесообразно использовать также относительное исчисление в плане оценивания значимости возможного и (или) вероятного ущерба (в сопоставлении с объемом и структурой финансовых ресурсов банка). В любом случае банк столкнется с двойственным толкованием понятий: с одной стороны, можно говорить о размере потерь или убытка, с другой стороны — о вероятности наступления того или иного события, связанного с конкретными суммами ущерба. По существу, даже само оценивание может включать классификацию риска (например, высокий риск / большая вероятность, высокий риск / малая вероятность), тем самым приобретая двухмерный характер (уровень риска / вероятность риска).

    При построении модели оценки рисков интернет-банкинга кредитной организации стоит очень осторожно использовать зарубежный опыт. Дело в том, что, как показывает анализ зарубежных методик оценивания рисков такого рода, существует ряд несоответствий даже в рамках отдельных систем, что препятствует интеграции качественного и количественного подходов в российскую банковскую практику. Например, типовыми градациями при оценивании банковских рисков являются «малый», «средний», «большой» размеры риска, а при оценивании качества управления рисками соответственно «высокое», «приемлемое» и «низкое». В то же время, такие системы оценивания, как CAMEL (FRS и ОСС в США) или CAMELS (в Великобритании, Южной Корее, FDIC в США), предполагают формирование итоговых оценок своих показателей по пятибалльной шкале. Помимо этого, если для качественных оценок предусматривается еще и определение тенденции (тренда) изменения профиля риска на конкретный период надзорного цикла в отношении каждого коммерческого банка, то для количественных систем подобной методики нет, за исключением так называемого «гэпанализа» («gap analysis»), применяемого для сопоставления двусторонних обязательств коммерческих банков по суммам и срокам погашения. Как следствие, отсутствует единая методика постановки в соответствие оценок, полученных разными способами. В то же время, для целей оценивания и анализа банковских рисков такое соответствие необходимо, поскольку одно только статическое оценивание на основе исторических данных (т.е. получение оценки на данный момент) мало продуктивно, а для оценки рисков изначально предполагается экстраполяция, так как любой риск — это всегда вероятностная характеристика негативного события. При этом целесообразно изучать возможность оценивания влияния рисков на финансовое состояние банковского учреждения в краткосрочной и среднесрочной перспективах.

    Для наиболее полного охвата банковских рисков необходимо учитывать не только размеры возможных потерь и их значимость для кредитных организаций, характеризуемых разным финансовым состоянием, но и вероятность таких потерь. Помимо этого, можно оценивать вероятность реализации каждого из выявленных рисков и по ней рассчитать возможные потери. Подобное комплексное изучение рисковых ситуаций (в динамике) позволило бы определить своего рода «пространство рисков», в котором находили бы отражение результаты расчета значений функций каждого из рисков как совокупные показатели «рискованности банковской деятельности». В целом предлагаемый подход пригоден для формирования полной картины профилей рисков с самых разных точек зрения: по отдельным коммерческим банкам и (или) представительным группам таких организаций, реализующим типовые наборы банковских услуг, применяющим сходные банковские технологии и т.д.

    Базовый принцип выявления рисков как вероятностных событий, способных нанести ущерб финансовым ресурсам коммерческих банков, заключается в том, что любая «вероятность» имеет причину, и для получения оценки последствий реализации этой вероятности необходимо такую причину в каждом отдельном случае установить. Поскольку к реальным потерям приводит «реализация» вероятности (наступление негативного события), каждая из таких причин должна быть далее однозначно интерпретирована в один из стандартных банковских рисков. С каждым из них связываются возможные для данного банка финансовые потери (в более общем случае может учитываться и так называемая «упущенная выгода»). Далее может быть оценена возможность парирования этого ущерба в сопоставлении с имеющимися резервами и определены требуемые организационно-административные мероприятия. Таким образом, последовательное изучение источников, факторов, уровней и последствий рисков формирует единую причинно-следственную цепь. Предлагаемая логика для выявления, оценивания и анализа рисков выражена приведенной ниже схемой.

    Эта схема может использоваться как в прямом, так и в обратном направлении (в зависимости от целей анализа рисков). В первом случае ее можно применить как структурную основу для подготовки рекомендаций по организации контроля за рисками, во втором случае — для разработки методики выявления, оценивания и анализа рисков в ходе работы служб внутреннего контроля в банках.

    Например, в случае оценивания компонентов правового риска интернет-банкинга, в качестве одного из них может быть рассмотрено нарушение сроков предоставления банковской отчетности в Банк России. Это нарушение может оказаться следствием выхода из строя аппаратно-программного обеспечения (с некоторой вероятностью) из-за таких факторов, как вирусная атака (восстановление, скажем, баз, данных обычно требует значительного времени), физический отказ сервера, на котором ведется главная база данных, другого оборудования, используемого для подготовки отчетности, когда восстановление работоспособности аппаратно-программного обеспечения может занять длительное время. Тогда количественной оценкой данного риска будет штраф в размерах от 0,05% до 1% от минимального размера уставного капитала кредитной организации. Аналогичные последствия в виде штрафов возможны в случаях наличия ошибок в программном обеспечении учета банковских операций или намеренного его искажения, что приводит к недостоверности регулярной банковской отчетности. Такую структуризацию можно осуществить для большинства тех положений нормативно-инструктивных документов, которые оговаривают применение санкций в виде штрафов и могут быть соотнесены с возникновением конкретных технологических проблем в информационных контурах банка. Учет всех аналогичных факторов в совокупности позволит далее получить оценку правового риска в абсолютном исчислении, чтобы понять, как сумма возможных штрафов скажется на финансовом состоянии банка и т.д. Тем самым такое, казалось бы, аморфное понятие, как «правовой риск», обретает наглядность и «физический смысл».

    Любые компьютерные аппаратные средства всегда характеризуются такими показателями, как коэффициент готовности, наработка на отказ, интенсивность отказов, приводимыми в поставочной технической документации. Учитывая, что банковская автоматизированная система обычно работает круглосуточно, с точки зрения банковских рисков наиболее важны наработка на отказ и интенсивность отказов, поскольку от них зависят возможные финансовые потери из-за прерывания функционирования банковской автоматизированной системы. В общем случае, уровень прямых и косвенных финансовых потерь банка, равно как и размеры возможных санкций за нарушения, непосредственно зависят и от объемов банковских операций, совершаемых в электронной форме, и от защищенности банковской автоматизированной системы, и от времени восстановления отказавших систем, и от применения их дублирования и замещения (так называемых «горячего» и «холодного» резервов), и от целого ряда других технологических факторов. Это означает, что оценки надежности, в разных вариантах построения банковской автоматизированной системы будут различными. Ввиду того, что многие кредитные организации, особенно крупные, обрабатывают в течение операционного дня огромное число транзакций, детальный учет влияния всех негативных факторов невозможен. Поэтому для оценивания рисков целесообразно применять расчет усредненных по времени (за месяц, квартал, год) финансовых потоков, проходящих через системы коммерческих банков. В связи с вероятностным характером отказов любых технических средств, через которые проходят потоки финансовых данных, расчет возможных потерь для банка или его клиентов логично осуществлять через наработку на отказ с учетом интенсивности этих отказов. Компоненты операционного риска рассчитываются в этом случае как суммы возможного ущерба из-за выхода из строя критичных компонентов банковской автоматизированной системы с учетом времени и средств, необходимых на восстановление ее работоспособности, соответствующих финансовых затрат и ущерба из-за возможной потери данных о транзакциях или суммах на счетах клиентов. Ввиду многообразия возможных вариантов аварийных ситуаций и различий в аппаратно-программном обеспечении банков для решения данного вопроса требуется проведение специального исследования. Сказанное относится и к вопросу обеспечения непрерывности банковских операций, осуществляемых через Интернет с помощью провайдеров интернет услуг, и к вопросу о том, кто несет ответственность и возмещает ущерб при прерывании электронных банковских операций по техническим причинам (в этой части важно также содержание договоров на обслуживание, заключаемых банками с их клиентами, и контрактов с внешними провайдерами).

    Что касается вопросов о компонентах рисков, связанных с возможностями несанкционированного доступа к банковским автоматизированным системам через локальную вычислительную сеть банка или Интернет, вмешательства в проводимые операции и базы данных, утечки конфиденциальной информации, то для их решения необходимо выявить способы и пути проникновения во внутрибанковские системы. В общем случае, выявление возможностей для реализации механизмов доступа такого рода должно доводиться до конкретных массивов банковских данных (счетов) и банковской информации. Если выявляется возможность проникновения к записям в базах данных, соответствующих электронным деньгам, то необходимо установить, какие суммы могут быть переведены (похищены), с помощью каких несанкционированных действий и с какой вероятностью. Тем самым можно будет оценить размер потенциального финансового ущерба. Следует отметить и резкий рост цены любых, даже незначительных на первый взгляд ошибок в банковских данных, которые могут лавинообразно тиражироваться в базах данных внутрибанковских и клиринговых систем. Если аналогичные возможности выявляются в отношении банковской и клиентской информации, хранимой в электронной форме, то требуется установить, какие виды этой информации могут быть несанкционированно скопированы, изменены или уничтожены, какого рода и размера ущерб кредитной организации и ее клиентам может иметь место и с какой вероятностью, а также каких финансовых затрат будет стоить исправление конкретной неблагоприятной ситуации (оценка риска). Вместе с тем в зависимости от того, к какой именно клиентской информации может быть получен несанкционированный доступ, какого рода доступ и с какими возможными неблагоприятными последствиями, зависит размер потерь (ущерба) в случаях оттока из банка средств клиентов (в первую очередь VIP-клиентов), возбуждения судебных исков и вероятных последующих выплат, а также санкций за нарушение в связи с этим банковской тайны (связь с оценкой правового риска).

    Стратегический риск в связи с внедрением новых технологий может быть оценен путем интерпретации результатов, ориентированной на получение оценок возможных финансовых потерь.

    Можно отметить, что алгоритмы выработки заключений такого рода легко реализуются в структурах компьютерных экспертных систем, поэтому, чем проще удастся сделать структуру правил принятия решений при оценивании рисков, тем легче сможет быть организована автоматизированная обработка соответствующей информации. В то же время, любая схема измерения риска в конкретном финансовом учреждении хороша настолько, насколько верны заложенные в ней предположения, насколько надежна и устойчива соответствующая методология анализа, средства контроля вводимых данных, их обработки, результатов, соответствующее прикладное обеспечение, организация внутреннего контроля. Кроме того, следует учитывать, что разным архитектурам и структурам внутрибанковских систем свойственны разные банковские риски в зависимости от их построения и того, какая критичная для работы банка информация в них обрабатывается.

    Процесс анализа и оценки рисков интернет-банкинга затрагивает еще два важных аспекта. Во-первых, совершенствование внутреннего контроля над банковскими операциями и связанными с ними рисками (как активное управление этими рисками). Внутренний контроль исторически складывался как механизм выявления и исключения случаев мошенничества, хищений или ошибок. В настоящее время он приобретает все более широкий характер, охватывая разнообразные риски, связанные с банковской деятельностью кредитных организаций. Новации в информационных технологиях и глобализация финансовых рынков существенно повышают вероятность реализации системных рисков. Вместе с тем информационные технологии создают условия для внедрения новых способов управления рисками, в том числе и для внутреннего контроля, отвечающего за выявление, анализ и мониторинг банковских рисков. Вследствие этого внутренний контроль стал неотъемлемой частью всей инфраструктуры коммерческого банка, причем и расходы на его обеспечение целесообразно определять исходя из возможностей парирования финансовых потерь, обусловленных банковскими рисками.

    Во-вторых, становится возможным определение резервных требований под тот или иной риск интернет-банкинга (как пассивное управление рисками). В связи с этим на основе изучения возможных последствий влияния рисков на функционирование отдельных банков можно было бы разрабатывать общие (единые) принципы парирования рисков, связанных, с одной стороны, с содержанием банковских операций и, с другой стороны, со специфическими технологиями предоставления банковских услуг. Вместе с принятыми в настоящее время подходами к резервированию, например, возможных потерь по ссудам или переоценки ценных бумаг процесс резервирования может быть основан и на покрытии потенциальных банковских рисков, причем в динамике, на основании текущих оценок рисков. В наиболее общем случае формирование своего рода резервного рискового пула позволит приблизить требования к достаточности капитала к оцениваемому уровню совокупного риска. Одновременно сумма совокупных резервов может рассматриваться и как общая оценка рискованности деятельности того или иного банка (в сопоставлении, например, с его капиталом). Расчет необходимых резервов логично проводить исходя из уровней возможных финансовых потерь, связанных со спецификой деятельности конкретных коммерческих банков (прямая аналогия с требованиями стандарта 30 МСФО).

    Каждому отдельному коммерческому банку, оказывающему услуги интернет-банкинга, требуется разработать собственные аналитические методики по каждому из оцениваемых банковских рисков, связанных с его деятельностью. Пренебрегать этим в современных условиях, характеризуемых множеством новых технологических решений в банковской области, резким повышением масштабности и скорости выполнения расчетно-платежных операций, а также широкой диверсификацией банковской деятельности, вряд ли возможно без угрозы самому существованию любого банковского учреждения.

    Универсальная рейтинговая система для оценки эффективности информационных технологий

    Практической интерпретацией системы оценки рисков интернет банкинга для российских банков могла бы стать система рейтингов по каждому виду рисков. Подобная система применяется в настоящее время в развитых странах. В США, например, основы системы рейтингов для информационных технологий были заложены Федеральным советом по проверкам финансовых учреждений, который является общим методическим органом для учреждений США, выполняющих регулятивно надзорные функции в банковском секторе. Впоследствии разработками этой организации в области оценки рисков интернет-технологий стали пользоваться и коммерческие банки, и другие финансовые учреждения.

    Данная рейтинговая система, которая получила название УРСИТ (Универсальная Рейтинговая Система для Информационных Технологий) включает описания так называемых компонентных и суммарных (композитных) рейтингов, а также идентификацию рисков и оцениваемых факторов, которые учитываются при присвоении компонентных рейтингов. При этом учитывается то, что современные информационные технологии могут непосредственно влиять на конкретные риски, которые принимает на себя то или иное финансовое учреждение. Поэтому риск-менеджерам следует рассматривать стратегический, операционный, репутационный, правовой, кредитный, рыночный риски и риск ликвидности для каждого компонентного рейтинга.

    Четыре основных компонента У PC ИТ:

    1)            аудит;

    2)            менеджмент;

    3)            разработка и приобретения;

    4)            поддержка и сопровождение — используются для оценки общих характеристик функционирования организации в части информационных технологий. Композитный рейтинг информационных технологий и каждый компонентный рейтинг определяются по шкале от 1 до 5 в нисходящем порядке. При этом рейтинг 1 означает безупречное функционирование, 2 — надежное и устойчивое функционирование, 3 — требуется незначительное надзорное внимание, 4 — ненадежные и неустойчивые условия работы, 5 — критическая операционная ситуация.

    На первом этапе определения суммарного рейтинга информационных технологий для организации осуществляется оценка функционального рейтинга каждого из четырех перечисленных выше компонентов. Оценка каждого из этих компонентов, их взаимосвязи и относительная значимость образуют основу для получения суммарного рейтинга. Этот суммарный рейтинг, получается, посредством суммирования качественных оценок всех четырех компонентов. Между суммарным рейтингом и отдельными компонентными рейтингами функционирования существует прямая связь. Однако суммарный рейтинг не является, каким то арифметическим средним отдельных компонентов — арифметический подход не отражает реального состояния рисков интернет-банкинга. Любой низкий рейтинг одного компонента может сильно повлиять на общий суммарный рейтинг для того или иного учреждения. К примеру, если функция аудита реализуется неадекватно, то целостность ИТсис тем как таковую нельзя с уверенностью подтвердить. Таким образом, подходящим обычно оказывается значение суммарного рейтинга, не дотягивающее до удовлетворительного («3» — «5»).

    Основным назначением суммарного рейтинга является идентификация тех финансовых учреждений и провайдеров услуг, которые демонстрируют слишком большую уязвимость к рискам, ассоциируемым с информационными технологиями. Поэтому отдельной подверженности, риску, которая явно влияет на жизнеспособность данной организации и (или) ее клиентов, должен присваиваться более высокий весовой коэффициент в суммарном рейтинге.

    Ниже приводятся определения суммарных рейтингов УРСИТ, описания оцениваемых факторов и определения для четырехкомпонентных рейтингов. Данные оцениваемые факторы и определения характеризуют различные функции информационных технологий и средств их контроля, которые следует оценивать кредитным организациям для определения общего профиля риска интернет-банкинга.

    Рассмотрим суммарные рейтинги финансовых учреждений или сервис-провайдеров. Суммарные рейтинга складываются из компонент по четырем направлениям — аудит, менеджмент, разработка и приобретения, поддержка и сопровождение.

    Суммарный рейтинг «1»:

    -              демонстрируют во всех отношениях надежное функционирование, и обычно компоненты таких банков оцениваются как «1» или «2»;

    -              недостатки в организации ИТ незначительны и легко устраняются в ходе обычной работы;  

    -              процессы риск-менеджмента реализованы в форме полноценной программы выявления и мониторинга риска в соответствии с размерами, сложностью деятельности и профилем риска данного учреждения;

    -              стратегические планы тщательно разработаны и полностью внедрены в учреждении. Это позволяет руководству быстро адаптироваться к изменяющимся рыночным условиям, деловым и технологическим потребностям данного учреждения;

    -              руководство четко идентифицирует недостатки и принимает соответствующие корректирующие меры для их устранения с учетом требований аудита и органов регулирования;

    -              финансовое состояние сервис-провайдера устойчивое, и общие характеристики функционирования свидетельствуют об отсутствии проблем с точки зрения надзорного органа.

    Суммарный рейтинг «2»:

    -              я демонстрируют безопасное и надежное функционирование, но при этом могут иметь место умеренные недостатки в операционных характеристиках, мониторинге, управленческих процессах или разработке систем. Как правило, высшее руководство исправляет недостатки в ходе обычной работы;

    -              процессы риск-менеджмента позволяют адекватно выявлять и контролировать риск в соответствии с размером, сложностью деятельности и профилем риска данного учреждения;

    -              стратегические планы разработаны, но могут требовать уточнения, улучшения координации или совершенствования информирования в организации. В результате руководство предвидит изменения в рыночных условиях, деловых и технологических потребностях учреждения и реагирует на них, но менее оперативно, чем в учреждении с суммарным рейтингом «1»;

    -              руководство, как правило, идентифицирует недостатки и принимает соответствующие корректирующие меры. В то же время устранение проблем в большей степени зависит от аудита и вмешательства регулирующих органов;

    -              финансовое состояние провайдера услуг приемлемое, и хотя могут иметься некоторые недостатки во внутреннем контроле, существенных причин для усиления надзора нет — он достаточно ограничен и неформален.

    Суммарный рейтинг «3»:

    -              требуют определенного внимания из-за сочетания недостатков, которые можно варьировать от умеренных до серьезных. Если эти недостатки сохранятся, то в дальнейшем возможно ухудшение состояния и функционирования данного учреждения или провайдера услуг;

    -              процессы риск-менеджмента могут недостаточно эффективно идентифицировать риски и не соответствовать размеру, сложности деятельности и профилю риска данного учреждения;

    -              стратегические планы недостаточно четкие, и в них может неадекватно описываться направление развития ИТ. В результате руководство часто испытывает трудности с реагированием на изменения в рыночных условиях, деловых и технологических потребностях банка;

    -              практика самооценки не развита и обычно представляет собой реакцию на результаты аудита и отклонения от установленных правил. Проблемы могут повторяться, что свидетельствует о нехватке у руководства возможностей или желания решать проблемы;

    -              финансовое состояние провайдера услуг может быть проблемным или могут наблюдаться негативные тенденции в нем. Несмотря на то, что серьезные финансовые или функциональные проблемы вряд ли возникнут, требуется повышенное внимание надзора. Возможны формальные или неформальные надзорные действия в обеспечение проведения корректирующих мероприятий со стороны надзорного органа.

    Суммарный рейтинг «4»:

    -              я работают в небезопасных и ненадежных условиях, что может негативно сказаться в дальнейшем на их «жизнеспособности». Функциональные недостатки свидетельствуют о серьезных проблемах менеджмента и понимания руководства;

    -              в процессах риск-менеджмента неадекватно учтены размер, сложность деятельности и профиль риска данного учреждения, риски плохо идентифицируются и контролируются;

    -              стратегические планы плохо составлены и не скоординированы или не доводятся до персонала организации. В результате Совет директоров не хочет или не способен обеспечивать удовлетворение технологических потребностей учреждения;

    -              руководство не применяет самооценку и демонстрирует неспособность или нежелание исправлять проблемы, выявленные аудитом, и отклонения от установленных правил;

    -              финансовое состояние сервис-провайдера неудовлетворительное и (или) заметно ухудшается. Банкротство данного финансового учреждения или сервис-провайдера может быть вполне вероятно, если не принять срочных мер по устранению проблем с ИТ. Банку уделяется большое внимание со стороны надзора и в большинстве случаев применяются установленные меры воздействия.

    Суммарный рейтинг «5»:

    -              демонстрируют наличие критических недостатков в функционировании, которые требуют немедленного устранения. Банк испытывает операционные проблемы, что свидетельствует о серьезных недостатках менеджмента и понимания их руководством;

    -              процессы риск-менеджмента явно плохо организованы и не позволяют руководству осознавать риск или придают ему недостаточное значение в сопоставлении с размером, сложностью деятельности и профилем риска данного учреждения;

    -              стратегические планы отсутствуют или неэффективны, а Совет директоров уделяет мало внимания или вообще не обращает внимания на управление деятельностью в области ИТ. В результате руководство не имеет представления о технологических потребностях учреждения или не придает ему значения;

    -              руководство не хочет или не способно исправлять проблемы, выявленные аудитом, и отклонения от установленных правил;

    -              финансовое состояние провайдера услуг плохое и банкротство весьма вероятно из-за плохого функционирования или финансовой нестабильности. Возможны санкции со стороны надзорного органа.

    Аудит информационных технологий (ИТ). Считается, что финансовым учреждениям и провайдерам услуг следует осуществлять независимую оценку своей подверженности рискам и качества средств внутреннего контроля, имеющих отношение к приобретению, внедрению и использованию ИТ. Практика проведения аудита должна охватывать подверженность рискам самого учреждения и его провайдеров услуг в части пользователя и операций, выполняемых центром обработки данных, архитектуры клиент/сервер, локальных и зональных вычислительных сетей, средств связи, обеспечения информационной безопасности, электронного обмена данными, системных разработок и планирования на случай чрезвычайных обстоятельств. Этот рейтинг должен показывать, насколько адекватна общая программа ИТ-аудита данной организации, с учетом, в том числе возможностей внутренних и внешних аудиторов своевременно выявлять риски и доводить информацию о них до руководства и Совета директоров. Также он должен отражать способности внутренних и внешних аудиторов содействовать безопасному, надежному и эффективному функционированию ИТ.

    Рейтинг аудиторской деятельности определяется как результат оценки по совокупности следующих факторов:

    -              степень независимости, обеспечиваемая аудиту, а также качество наблюдения и поддержка со стороны Совета директоров;

    -              адекватность методологии анализа риска, которая используется аудитом при определении приоритетов в распределении ресурсов и составления графика проведения аудита;

    -              охват, частота, точность и своевременность предоставления отчетов о внутреннем и внешнем аудите;

    -              степень участия аудита в разработке, приобретении и тестировании программного обеспечения в интересах эффективности средств внутреннего контроля и компьютерных аудиторских записей;

    -              адекватность общего плана проведения аудита с точки зрения должного охвата рисков, связанных с ИТ;

    -              приверженность аудита этическому кодексу и стандартам профессионального аудита;

    -              квалификация конкретного аудитора, преемственность персонала, а также постоянное совершенствование посредством повышения квалификации;

    -              наличие своевременного и официального последующего контроля, а также отчетности о руководящих решениях по выявленным проблемам или недостаткам;

    -              качество и эффективность работы внутреннего и внешнего аудита по отношению к средствам контроля над ИТ.

    Рейтинг «1» свидетельствует о надежной аудиторской деятельности. Аудит независимым образом выявляет недостатки и риски и подробно и своевременно сообщает о них Совету директоров учреждения или его аудиторскому комитету. Проблемы, требующие особого внимания, которые выявил аудит, контролируются вплоть до их устранения. Проводимый анализ рисков гарантирует охват планами аудита всех значимых операций, выполняемых с помощью ИТ, поставок и разработок при соответствующем охвате и частоте проверок. Аудиторская работа выполняется в соответствии с профессиональными стандартами аудита, а содержание отчетов по ее результатам является актуальным, конструктивным, точным и полным. Поскольку сам аудит является надежным, надзорный орган полностью полагается на результаты проведенного аудита и не имеет претензий к организации риск менеджмента банка.

    Рейтинг «2» свидетельствует об удовлетворительной аудиторской деятельности. Аудит независимым образом выявляет недостатки и риски и сообщает о них Совету директоров банка или аудиторскому комитету, однако отчеты могут быть не совсем своевременными. Существенные проблемы, которые выявил аудит, контролируются вплоть до их устранения. Проводимый анализ рисков гарантирует охват планами аудита всех значимых операций, выполняемых с помощью ИТ, поставок и разработок, но в то же время не исключено, что охват и частота проверок требуют некоторой коррекции. Аудиторская работа выполняется в соответствии с профессиональными стандартами аудита, тем не менее, иногда могут возникать небольшие проблемы с актуальностью, полнотой и точностью содержания отчетов. Поскольку сам аудит является удовлетворительным, проверяющие надзорного органа могут в целом полагаться на результаты проведенного аудита, однако в силу отдельных сомнений проверяющим в некоторых случаях может потребоваться дополнительное подтверждение.

    Рейтинг «3» свидетельствует о том, что аудиторская деятельность не совсем удовлетворительна. Аудит выявляет недостатки и риски и сообщает о них, однако его независимость может оказаться под сомнением, а отчеты, представляемые Совету директоров или аудиторскому комитету, могут быть недостаточно приемлемыми по содержанию и несвоевременными. Существенные проблемы, выявляемые аудитом, могут контролироваться неадекватно. Анализ рисков недостаточно удовлетворителен. В результате планы проведения аудита могут не обеспечивать достаточный охват или частоту проверок операций, выполняемых с помощью ИТ, поставок и разработок. В целом аудиторская работа выполняется в соответствии с профессиональными стандартами аудита, тем не менее, время от времени возникают проблемы с актуальностью, полнотой и (или) точностью содержания отчетов. Ввиду того что сам аудит недостаточно удовлетворителен, надзорный орган проявляет осторожность и не полагается полностью на результаты проведенного аудита. Банк должен быть готов к углубленным проверкам и необходимости предоставления дополнительной информации в надзорный орган.

    Рейтинг «4» свидетельствует о несовершенном аудите. Аудит может идентифицировать недостатки и риски, но не иметь возможности независимо сообщать о них Совету директоров или аудиторскому комитету, а содержание отчетов может являться неадекватным. Существенные проблемы, выявляемые аудитом, могут неадекватно контролироваться и устраняться. Анализ рисков слабый. В результате планы проведения аудита не обеспечивают адекватный охват или частоту проверок операций, выполняемых с помощью ИТ, поставок и разработок. Аудиторская работа зачастую не соответствует профессиональным стандартам аудита, а оценки своевременности, точности и полноты отчетов неточны, а потому неприемлемы. Поскольку сам аудит несовершенный, надзорный орган, по сути, проводит его самостоятельно. Банк должен быть готов к предписаниям и прочим санкциям со стороны проверяющих.

    Рейтинг «5» свидетельствует о критически плохой аудиторской деятельности. Если функция аудита и существует, то он не обладает необходимой независимостью и, как результат, не выявляет недостатки и риски и не сообщает о них Совету директоров учреждения или аудиторскому комитету. Существенные проблемы, выявляемые аудитом, не отслеживаются, а последующий контроль их за устранением не осуществляется. Анализ рисков критически недостаточен. В результате планы проведения аудита неэффективны, и из-за этого недостаточны охват аудита и частота проверок операций, выполняемых с помощью ИТ, поставок и разработок. Аудиторская работа выполняется не в соответствии с профессиональными стандартами, и отмечаются значительные недостатки в части своевременности, полноты и точности аудиторских отчетов. Ввиду того что сам аудит критически плохой, проверяющие не могут полагаться на результаты аудита.

    Менеджмент ИТ. Этот рейтинговый компонент отражает возможности Совета директоров в отношении разных аспектов приобретения, разработок и операций, выполняемых с помощью ИТ. Практика работы руководства может касаться некоторых или всех рисков, имеющих отношение к ИТ: стратегического планирования, обеспечения качества, оценивания рисков, управления проектами, инфраструктуры и архитектуры, работы конечного пользователя, администрирования контрактных отношений с провайдерами, организации в целом и сотрудников, соответствия инструкциям и законодательству. В общем случае отсутствует необходимость активного вовлечения Совета директоров в вопросы повседневного выполнения операций, тем не менее, они должны обеспечивать четкое руководство в отношении приемлемых уровней риска и гарантировать внедрение надлежащей политики, процедур и практики. Надежное управление проявляется через активное наблюдение со стороны Совета директоров банка, компетентный персонал, надежные планы применения ИТ, адекватную политику и стандарты, эффективную организацию управления и мониторинг риска.

    Рейтинг менеджмента и качества управления рисками определяется как результат оценки по совокупности следующих факторов:

    -              уровень и качество наблюдения за деятельностью в области ИТ и ее поддержка со стороны Совета директоров банка;

    -              способность руководства планировать и внедрять новые виды деятельности или услуги в ответ на информационные потребности и влиять на риски, которые могут возникнуть из-за изменения условий деятельности;

    -              способность руководства обеспечивать наличие таких информационных отчетов, которые нужны для обоснованного, эффективного и результативного планирования и принятия решений;

    -              адекватность внутренней политики и средств контроля, а также их согласованность с операциями, выполняемыми с помощью ИТ, и рисками основных видов деятельности;

    -              эффективность систем мониторинга рисков;

    -              своевременность корректирующих действий в отношении зафиксированных и известных проблем;

    -              степень осведомленности о законодательных актах и инструкциях и соответствие их требованиям;

    -              уровень планирования с точки зрения преемственности руководящей деятельности;

    -              способность руководства контролировать предоставление услуг и оценивать эффективность и результативность продвижения данной организации к достижению поставленных целей;

    -              адекватность контрактов и способность руководства контролировать отношения со сторонними обслуживающими организациями;

    -              адекватность стратегического планирования и практики управления рисками в интересах выявления, измерения, мониторинга рисков и управления ими, включая способность руководства осуществлять самооценку;

    -              способность руководства выявлять, измерять, контролировать риски и управлять ими, а также реагировать на вновь возникающие потребности в информационных технологиях и соответствующих решениях.

    Помимо перечисленного в оценке менеджмента в организациях — провайдерах услуг, включая банки, учитываются также следующие факторы:

    -              финансовое состояние и текущая финансовая устойчивость конкретной организации;

    -              влияние внешних и внутренних тенденций и других факторов на способность данной организации поддерживать непрерывное обслуживание финансовых учреждений, являющихся ее клиентами;

    -              качество содержания соглашений, заключенных в соответствии с контрактом, и планов.

    Рейтинг «1» свидетельствует о «сильном» Совете директоров банка. Имеет место эффективная практика риск-менеджмента в плане управления деятельностью в области ИТ, причем риски правильно и эффективно выявляются, измеряются, управляются и контролируются. Руководство незамедлительно устраняет проблемы, выявляемые аудитом и органами регулирования, с целью обеспечения надежности функционирования. Документированные технологические планы, политика и процедуры, а также стандарты тщательно составлены и должным образом отражают сложность среды ИТ. Они официально приняты, доведены до сведения и внедрены в организации. Системы ИТ обеспечивают наличие точных, своевременных отчетов для руководства. Эти отчеты служат в качестве основы для принципиальных решений и как эффективные инструменты мониторинга функционирования. Соглашения по аутсорсингу основаны на полноценном планировании; текущий надзор со стороны руководства поддерживает необходимый уровень контроля над контрактами с поставщиками, их деятельностью и предоставляемыми услугами. Совет директоров демонстрирует способность четко и успешно реагировать на проблемы с ИТ и возможные риски.

    Рейтинг «2» свидетельствует об удовлетворительной деятельности Совета директоров банка. Имеет место адекватная практика управления рисками, используемая для управления деятельностью в области ИТ. Серьезные риски, связанные с ИТ, выявляются, измеряются, контролируются и управляются; однако процессы управления рисками могут быть не полностью структурированными или не совсем последовательно реализовываться, вследствие чего остаются некоторые недостатки. Руководство устраняет проблемы, выявляемые аудитом и органами регулирования, в ходе обычной деятельности, чтобы гарантировать эффективное и надежное функционирование, однако корректирующие меры могут реализоваться не всегда своевременно. Технологические планы, политика и процедуры, равно как и стандарты, адекватны и утверждены официально. Тем не менее, могут оставаться небольшие недостатки в способности руководства доводить и внедрять их по всей организации. Системы ИТ обеспечивают качественные отчеты для руководства, которые служат в качестве основы для принципиальных решений и как средства для планирования и мониторинга функционирования. Могут существовать отдельные не связанные между собой проблемы со своевременностью предоставления, точностью или согласованностью отчетов. Соглашения по аутсорсингу адекватным образом спланированы и контролируются со стороны руководства, они позволяют получить общее представление о контрактах с поставщиками (вендорами), а также стандартах функционирования и предоставляемых услугах. Совет директоров демонстрирует способность успешно реагировать на существующие проблемы с ИТ и риски.

    Рейтинг «3» свидетельствует о не совсем удовлетворительной деятельности руководства и Совета директоров учреждения. Практика управления рисками может быть довольно слабой и ограниченно служит управлению деятельностью в области ИТ. В целом большинство рисков, связанных с ИТ, выявляются, однако процессы измерения и мониторинга рисков могут иметь явные недостатки. В итоге возможности руководства по управлению рисками оказываются не совсем удовлетворительными. Проблемы, выявляемые аудитом и органами регулирования, в общем, учитываются, но интервалы времени зачастую слишком велики, так что принимаемые корректирующие меры могут оказаться несоответствующими. Не исключено, что руководство не желает или не способно реагировать на недостатки. Технологические планы, политика и процедуры, а также стандарты существуют, но могут оказаться неполными. Они могут быть не утверждены официально, неэффективно доводиться до персонала или внедряться организации. Системы ИТ обеспечивают требуемые отчеты для руководства, но регулярно возникают проблемы с точностью, полнотой и своевременностью представления, что снижает надежность и значимость отчетов, а также может негативно влиять на принятие решений и мониторинг функционирования. Соглашения по аутсорсингу могут заключаться без планирования или анализа, а руководство может осуществлять незначительный надзор или просто никак не контролировать контракты с поставщиками, соблюдение стандартов деятельности и предоставляемые услуги. Совет директоров банка может быть не способен реагировать на существующие проблемы с ИТ и риски, что подтверждается несвоевременной реакцией на значимые проблемы с ИТ.

    Рейтинг «4» свидетельствует о некачественной работе руководства и Совета директоров банка. Практика управления рисками неадекватна и не дает достаточных оснований для управления деятельностью в области ИТ. Критически важные риски, связанные с ИТ, должным образом не выявляются, а процессы измерения и мониторинга рисков несовершенны. Как результат, руководство может не сознавать риски и оказаться не способно управлять ими. Руководство может не желать или быть не способно эффективно и своевременно реагировать на выявленные аудитом или органами регулирования недостатки. Технологические планы, политика и процедуры, а также стандарты неадекватны, официально не утверждены или недостаточно эффективно доведены до персонала организации, причем руководство недостаточно эффективно внедряет их. Системы ИТ не снабжают руководство в ходе текущей деятельности точными, адекватными и надежными отчетами, что приводит к неэффективности мониторинга функционирования и ошибкам в принятии решений. Соглашения по аутсорсингу могут заключаться без планирования или анализа, а руководство может осуществлять незначительный надзор или просто никак не контролировать контракты с поставщиками, соблюдение стандартов деятельности и предоставляемые услуги. Совет директоров не способен реагировать на существующие проблемы с ИТ и риски, что подтверждается его неэффективными действиями и долговременными недостатками в ИТ. Необходимо усиление руководства и соответствующих процессов. Финансовое состояние провайдеров услуг может угрожать устойчивости банка.

    Рейтинг «5 свидетельствует о критически плохой работе Совета директоров. Практика управления рисками характеризуется серьезными упущениями и дает неверные основания для управления деятельностью в области ИТ. Важнейшие риски, связанные с ИТ, не выявляются, а процессы измерения и мониторинга рисков отсутствуют или неэффективны. Неспособность руководства контролировать риски может угрожать существованию учреждения или провайдера услуг. Руководство не способно и (или) не желает устранять выявленные аудитом или органами регулирования недостатки, так что требуется незамедлительное принятие мер со стороны Совета директоров для обеспечения существования банка как провайдера услуг. Даже если технологические планы, политика и процедуры, равно как и стандарты, реально существуют, они характеризуются критически серьезными недостатками. Из-за систематических проблем системы ИТ не обеспечивают предоставление руководству точных, своевременных и имеющих отношение к делу отчетов. Соглашения по аутсорсингу могут заключаться без планирования со стороны руководства или анализа, что приводит к возникновению значительных потерь для данного финансового учреждения или же к неэффективному обслуживанию со стороны поставщика (вендора). Финансовое состояние провайдера услуг не исключает прекращение своего существования уже в ближайшее время.

    Существует прямая связь между общим состоянием ресурсов информационных систем и качеством, а также численностью руководства и обслуживающего персонала. При оценивании менеджмента следует учитывать работу руководства, включая планирование на перспективу.

    Для того чтобы оценка менеджмента была эффективной, следует оценить кадровую политику, внутренний контроль и управление для каждой из рассматриваемых областей деятельности, также должны быть рассмотрены в целом их сильные и слабые стороны. В общем случае, при проведении оценки следует инспектировать: финансовое состояние, аудит, компьютерные операции, системные разработки и программирование, стратегию в отношении персонала, административную преемственность и подготовку работников.

    Административная преемственность целесообразна в любой организации и, возможно, в области обработки посредством информационных систем является даже более важной. Банк только выигрывает от использования в работе тех, чьи опыт и подготовка способствуют продвижению на руководящие должности. Любое финансовое учреждение должно избегать зависимости от одного лица или нескольких лиц, занимающих ключевые позиции. Следует позаботиться о резерве обеспечения непрерывной работы на случай неожиданного выхода из строя основных работников. С помощью программ обучения, включая подготовку административных работников в области внутреннего контроля, можно минимизировать перерывы в работе из-за текучки управленческого персонала или сотрудников,

    Способность администрации эффективно управлять всеми аспектами функционирования информационных систем и взаимодействовать с группами пользователей, а также другими управленческими работниками данной организации является ключевым фактором успеха в любой области обработки данных.

    Разработки и приобретения. Этот рейтинговый компонент отражает возможности той или иной организации определять, приобретать, устанавливать и сопровождать подходящие технологические решения. Участие менеджмента может требоваться при принятии решений по всем или некоторой части бизнес-процессов для реализации любых изменений в используемом аппаратном и программном обеспечении. Эти бизнес-процессы включают приобретение аппаратного или программного обеспечения банком или провайдером услуг, разработку и программирование, осуществляемые банком или сторонним провайдером услуг, приобретение услуг у независимых вендоров или аффилированных центров обработки данных, или комбинацию перечисленных вариантов. Бизнес-процесс определяется как совокупность всех этапов, необходимых для осуществления изменений, включая изучение возможных альтернатив, выбор подходящего варианта для данной организации в целом, а также переход на новую систему или интеграции новой системы с существующими системами. Этот рейтинг отражает адекватность методологии системных разработок конкретного банка и соответствующую практику управления рисками при приобретении и применении информационной технологии. Данный рейтинг характеризует также способность Совета директоров пруденциальным образом совершенствовать и заменять информационные технологии в контролируемых условиях.

    Рейтинг для характеристик системных разработок и приобретений, а также соответствующей практики управления рисками определяется как результат оценки по совокупности следующих факторов:

    -              уровень и качество наблюдения за деятельностью в области разработок систем и приобретений и ее поддержка Советом директоров;

    -              адекватность организационных и управленческих структур в части установленной подотчетности и ответственности за системы ИТ и новые технологии;

    -              степень, характер и масштаб подверженности конкретного банка рискам в области системных разработок и приобретений;

    -              адекватность установленных в учреждении стандартов организации жизненного цикла системных разработок (ЖЦСР) и программирования;

    -              качество программ и практики управления проектами, которых придерживаются разработчики, операторы, исполнительное руководство (владельцы), независимые поставщики и конечные пользователи;

    -              независимость выполнения функции обеспечения качества и адекватность средств контроля за внесением изменений в программы;

    -              качество и детальность системной документации;

    -              целостность и безопасность вычислительных сетей, систем и прикладных программ;

    -              разработка средств (решений) ИТ, удовлетворяющих требованиям конечных пользователей;

    -              степень вовлечения конечных пользователей в процесс системных разработок.

    Помимо перечисленного при оценке процессов разработок и приобретений у провайдеров услуг учитываются следующие факторы:

    -              качество версий программного обеспечения и документации;

    -              адекватность подготовки, предоставляемой клиентам.

    Рейтинг «1» свидетельствует о «сильном» руководстве процессами системных разработок, приобретения, внедрения и внесения изменений. Руководство и Совет директоров учреждения правильно определяют и реализуют требуемые ИТ-решения в ходе текущей деятельности, при этом эффективно управляя риском. Методы управления проектами оцениваются, как эффективные и поддержаны документированной политикой, процедурами и средствами контроля проектов, что обычно способствует эффективному и своевременному завершению проектов. Независимая реализация функции обеспечения качества гарантирует надежность средств контроля над тестированием и управлением модификацией программ. Технологические решения обычно соответствуют потребностям конечного пользователя. Не отмечается никаких существенных недостатков или проблем.

    Рейтинг «2» свидетельствует об удовлетворительном руководстве процессами системных разработок, приобретений, внедрения и внесения изменений. Совет директоров учреждения в большинстве случае правильно определяет и реализует требуемые ИТ-решения, при этом управляя рисками. Управление проектами в основном оценивается как эффективное, хотя могут иметься недостатки, приводящие к незначительным задержкам в реализации проектов и перерасходам. Независимая реализация функции обеспечения качества гарантирует адекватный контроль за тестированием и управлением модификацией программ. Технологические решения соответствуют потребностям конечного пользователя. В то же время могут быть желательны некоторые улучшения, чтобы удовлетворялись исходные пожелания пользователей. Недостатки могут присутствовать, но они не столь значительны и легко устраняются в ходе текущей работы.

    Рейтинг «3» свидетельствует о недостаточно удовлетворительном руководстве процессами системных разработок, приобретений, внедрения и внесения изменений. Совету директоров банка часто не удается определять и реализовать требуемые ИТ-решения, вследствие этого может возникать неожиданная подверженность рискам. Методы управления проектами слабые и часто могут приводить к задержкам в реализации проектов, их незавершенности и заметным перерасходам. Функция обеспечения качества реализуется недостаточно независимо от функции программирования, что может негативно влиять на целостность тестирования и управления модификацией программ. Технологические решения в общем случае соответствуют потребностям конечного пользователя, но нередко оказываются нужны существенные переделки после реализации. Из-за недостатков могут возникать серьезные проблемы, способные привести к прерыванию операций или заметным потерям.

    Рейтинг «4» свидетельствует о слабом руководстве процессами системных разработок, приобретений, внедрения и внесения изменений. Совет директоров банка может быть не способен определять и реализовать требуемые ИТ-решения, а также эффективно управлять рисками. Методы управления проектами неэффективны и могут приводить к серьезным задержкам в реализации проектов и перерасходам. Функция обеспечения качества не полностью эффективна и не может гарантировать независимость или полноценную проверку средств контроля тестирования или управление модификацией программ. Технологические решения могут не соответствовать критически важным потребностям организации. Существуют проблемы и значительные риски, которые требуют немедленной реакции со стороны Совета директоров для сохранения финансовой устойчивости банка.

    Рейтинг 45» свидетельствует о критически плохом управлении процессами системных разработок, приобретений, внедрения и внесения изменений. Совет директоров учреждения явно не способен определять и реализовать требуемые ИТ-решения. Методы управления проектами неполноценны и мало способствуют или не способствуют вообще организации и управлению разработкой систем или технологических проектов. Функция обеспечения качества существенно недостаточна или отсутствует, из-за чего непредсказуемые проблемы при тестировании и в управлении модификацией программ приводят к значительным рискам, связанным с ИТ. Технологические решения не удовлетворяют потребности данной кредитной организации. Существуют серьезные проблемы и значительные риски, которые вызывают сомнения в продолжении функционирования данного банка или провайдера услуг.

    Поддержка и сопровождение ИТ. Этот рейтинговый компонент отражает возможности организации по обеспечению технологического обслуживания в безопасных условиях. Он отражает не только условия функционирования ИТ, но и такие факторы, как надежность, безопасность и целостность, которые могут повлиять на качество систем доведения информации до адресата. В число этих факторов входят поддержка и обучение клиентов, а также способности справляться с проблемами и инцидентами, управлять операциями, работой систем, планированием производительности и ресурсами, а также данными. За счет управления рисками должны обеспечиваться эффективное, безопасное и надежное выполнение операций с помощью ИТ, которое обеспечивает непрерывность выполнения операций наряду с целостностью и доступностью данных. Данный рейтинговый компонент учитывает операционные риски, которые имеют место во всей кредитной организации и у провайдеров услуг.

    Рейтинг поддержки и сопровождения ИТ определяется как результат изучения и оценки по следующим требованиям:

    -              способность обеспечивать тот уровень обслуживания, который соответствует требованиям бизнеса;

    -              адекватность политики, процедур и практики обеспечения информационной безопасности во всех подразделениях и на всех уровнях финансового учреждения, а также у провайдеров услуг;

    -              адекватность средств управления данными при их подготовке, вводе, обработке и выводе;

    -              адекватность корпоративного планирования на случай чрезвычайных обстоятельств и восстановления деловых операций для центров обработки данных, вычислительных сетей, провайдеров услуг и деловых подразделений;

    -              качество процессов и программ, осуществляющих мониторинг производительности и функционирования;

    -              адекватность средств контроля и способность к мониторингу средств контроля у провайдера услуг;

    -              качество поддержки, предоставляемой пользователям, включая способности решать проблемы;

    -              адекватность функциональной политики, процедур и руководств;

    -              качество обеспечения физической и логической безопасности, включая конфиденциальность данных;

    -              адекватность архитектуры брандмауэров и безопасность соединений с общедоступными сетями связи.

    Помимо перечисленного при оценке поддержки и сопровождения у организаций — провайдеров услуг учитываются следующие факторы:

    -              адекватность обслуживания, предоставляемого клиентам;

    -              способность организации предоставлять и поддерживать такой уровень обслуживания, который удовлетворяет требованиям конкретного клиента.

    Рейтинг «1» свидетельствует о надежной поддержке и сопровождении ИТ. Организация обеспечивает надежное и согласованное обслуживание. Уровни обслуживания соответствуют точно определенным соглашениям об уровнях обслуживания и обычно удовлетворяют или превышают деловые потребности. Имеется полноценный корпоративный план на случай чрезвычайных обстоятельств и возобновления операций. Ежегодно осуществляется тестирование, и обновление плана на случай чрезвычайных обстоятельств, при этом работа критически важных систем и приложений восстанавливается в приемлемые сроки. Официальная документированная политика обеспечения безопасности данных и программа ее реализации распространены по всей организации. Логическая и физическая безопасность всех ИТ-платформ строго контролируется, а инциденты с нарушениями безопасности и недостатки выявляются и быстро ликвидируются. Отношения со сторонними провайдерами услуг строго контролируются. Надежность выполнения операций с помощью ИТ высокая, а подверженность риску полноценно идентифицируется и управляется.

    Рейтинг «2» свидетельствует об удовлетворительной поддержке и сопровождении ИТ. Организация обеспечивает в целом надежное и согласованное обслуживание, хотя могут происходить некоторые отклонения от уровней обслуживания. Характеристики обслуживания соответствуют соглашениям об обслуживании и удовлетворяют деловым потребностям. Имеется корпоративный план на случай чрезвычайных обстоятельств и возобновления операций, но могут быть желательны небольшие улучшения. Осуществляется ежегодное тестирование и обновление плана на случай чрезвычайных обстоятельств, но при восстановлении систем и приложений могут возникать незначительные проблемы. Имеется официальная документированная политика обеспечения безопасности данных, но возможно ее улучшение, чтобы гарантировалась адекватность. Эта политика, в общем, внедрена и распространена по всей организации, например, через программу обеспечения безопасности. Логическая и физическая безопасность критических ИТ-платформ удовлетворительна. Осуществляется мониторинг систем, а инциденты с безопасностью и недостатки выявляются и ликвидируются в разумные сроки. Отношения со сторонними провайдерами услуг находятся под контролем. Критические операции, выполняемые с помощью ИТ, надежны, а подверженность риску в достаточной мере выявляется и управляется.

    Рейтинг «3» свидетельствует о не совсем удовлетворительной поддержке и сопровождении ИТ, требующей улучшения. Организация предоставляет технологическое обслуживание, которое может оказаться ненадежным или несоответствующим. В результате уровни обслуживания периодически отклоняются от соглашений об обслуживании и не полностью удовлетворяют деловым потребностям. Имеется корпоративный план на случай чрезвычайных обстоятельств и возобновления операций, но он не может считаться всесторонним. Этот план периодически тестируется, но восстановление критических систем и приложений часто заканчивается неудачей. Политика обеспечения безопасности данных имеется, однако она может не внедряться явным образом или не доводиться по всей организации. Логическая и физическая безопасность критических ИТ-платформ недостаточно удовлетворительна. Мониторинг систем осуществляется, однако инциденты с безопасностью и недостатки могут ликвидироваться несвоевременно. Отношения со сторонними провайдерами услуг могут контролироваться недостаточно. Выполнение операций с помощью ИТ не может считаться приемлемым, кроме того, существует подверженность неожиданным рискам. Если недостатки не устранять, то они смогут привести к ухудшению выполнения или прерыванию операций интернет-банкинга.

    Рейтинг «4» свидетельствует о недостаточной поддержке ИТ и невысоком качестве обслуживания. Организация предлагает ненадежные и неподходящие технологии обслуживания. Соглашения об уровнях обслуживания плохо определены, а его характеристики обычно не удовлетворяют требованиям бизнеса. Корпоративный план на случай чрезвычайных обстоятельств и возобновления операций может иметься в наличии, но его содержание неудовлетворительно. Если ежегодное тестирование на случай чрезвычайных обстоятельств и проводится, то руководство обычно не может добиться восстановления критично важных систем и приложений. Политика обеспечения безопасности данных может отсутствовать. В результате со стороны надзора могут возникнуть серьезные сомнения в безопасности и целостности данных. Логическая и физическая безопасность критических ИТ-платформ недостаточна. Системы могут контролироваться, но инциденты с безопасностью и недостатки не могут эффективно выявляться и ликвидироваться. Отношения со сторонними провайдерами услуг не контролируются. Выполнение операций с помощью ИТ ненадежно, и существует значительная подверженность риску. Ухудшение функционирования очевидно и имеют место частые прерывания операций интернет-банкинга.

    Рейтинг «5» свидетельствует о критически недостаточной поддержке ИТ и плохом обслуживании. Организация предлагает ненадежные и неподходящие технологии обслуживания. Соглашения об уровнях обслуживания отсутствуют, а характеристики обслуживания не удовлетворяют требованиям бизнеса. Корпоративного плана на случай чрезвычайных обстоятельств и возобновления операций не существует. Тестирование на случай чрезвычайных обстоятельств не проводится, и руководство не может подтвердить способность восстановления критично важных систем и приложений. Политика обеспечения безопасности данных не существует, имеют место серьезные угрозы безопасности и целостности данных организации. Логическая и физическая безопасность критических ИТ-платформ не адекватна, а руководство банка не контролирует системы на предмет инцидентов с обеспечением безопасности и недостатками. Отношения со сторонними провайдерами услуг не контролируются, а продолжение функционирования того или иного провайдера услуг может быть под угрозой. Выполнение операций с помощью ИТ весьма ненадежно, а недостатки настолько серьезны, что могут привести к банкротству банка или провайдера услуг, если их не устранять.

    На протяжении всего описания рейтинговой системы оценки рисков, связанных с использованием информационных технологий, рефреном повторяется необходимость вовлечения высшего руководства в этот процесс. Руководителям банка следует обладать квалификацией, достаточной для эффективной идентификации, измерения, мониторинга и контроля рисков, ассоциируемых с интернет-банкингом. Совет банка должен получать регулярные отчеты по применяемым технологиям, предполагаемым рискам и тому, как эти риски управляются. Мониторинг функционирования систем является ключевым фактором успеха. Банки должны включить в свою систему интернет-банкинга эффективные процессы подтверждения качества и аудита как часть процесса разработки. Банкам следует периодически проверять свои системы, чтобы определить, удовлетворяют ли они стандартам функционирования.

    Особое внимание кредитные организации должны уделять оценке рисков, связанных с безопасностью используемых ими информационных технологий. В этой связи оправданным является построение системы аудита безопасности, оценки которого интегрируются в универсальную рейтинговую систему информационных технологий и в консолидированную систему - банка.

    Оценка рисков безопасности систем интернет-банкинга

    На сегодняшний день автоматизированные банковские системы (АБС) являются краеугольным камнем в обеспечении бизнес-процессов практически любой кредитной организации вне зависимости от ее размеров и масштабов деятельности. Использование интернет-технологий подвергает АБС дополнительным рискам внутреннего и внешнего проникновения, поэтому от их защиты напрямую зависит устойчивость работы банка. В этой связи высокую значимость для каждого банка, особенно предоставляющего услуги интернет-банкинга, приобретают вопросы оценки операционных рисков, связанных с возможным нарушением информационной безопасности, систематизации действующих мер защиты и разработки стратегии в области минимизации рисков до приемлемого уровня.

    В настоящее время можно выделить следующие основные виды оценки состояния информационной безопасности банков:

    -              оценка соответствия требованиям Международного стандарта ISO 27001;

    -              оценка соответствия требованиям Стандарта Банка России СТО БР ИББС1,0;

    -              оценка соответствия требованиям Нового Базельского соглашения о достаточности капитала (Базель II);

    -              оценка защищенности — анализ, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечения АБС;

    -              оценка рисков информационной безопасности.

    Каждая из вышеперечисленных видов оценки может проводиться по отдельности или в комплексе в зависимости от тех задач, которые необходимо решить банку. В качестве объекта оценки может выступать как АБС в целом, так и ее отдельные подсистемы, в которых проводится обработка информации, подлежащей защите. В качестве таких подсистем может выступать интернет-портал, узел доступа к сети Интернет, система электронного документооборота, система «Клиент — Банк».

    Качество проводимой оценки рисков безопасности во многом зависит от полноты и точности информации, которая была получена в процессе сбора исходных данных. Поэтому информация должна включать в себя: существующую организационно-распорядительную документацию, касающуюся вопросов информационной безопасности, сведения о программно-аппаратном обеспечении АБС, информацию о средствах защиты, установленных в АБС.

    В процессе анализа информации определяются операционные риски информационной безопасности, которым может быть подвержен банк. Фактически риск представляет собой интегральную оценку того, насколько эффективно существующие средства защиты способны противостоять информационным атакам.

    Обычно выделяют две основные группы методов расчета рисков безопасности:

    1)            позволяет установить уровень риска путем оценки степени соответствия определенному набору требований по обеспечению информационной безопасности. В качестве источников таких требований могут выступать требования Стандарта Банка России;

    2)            базируется на определении вероятности реализации угрозы, а также уровней их ущерба. В данном случае значение риска вычисляется отдельно для каждой угрозы и в общем случае представляется как произведение вероятности реализации угрозы на величину возможного ущерба от этой угрозы:

    Риск (а) =- Р (а) х Ущерб (а).

    Значение ущерба определяется собственником информационного ресурса, а вероятность успешной атаки вычисляется группой экспертов, проводящих процедуру оценки риска.

    Методы первой и второй группы могут использовать количественные или качественные шкалы для определения величины риска информационной безопасности. В первом случае риск и все его параметры выражаются в числовых значениях. Так, при использовании количественных шкал вероятность реализации угрозы Р(а) может выражаться числом в интервале (0,1), а ущерб может задаваться в виде денежного эквивалента материальных потерь, которые может понести банк в случае успешного проведения атаки. При использовании качественных шкал числовые значения заменяются на эквивалентные им понятийные уровни. Каждому понятийному уровню в этом случае будет соответствовать определенный интервал количественной шкалы оценки. Количество уровней может варьироваться в зависимости от применяемых методик оценки рисков.

    Необходимо отметить, что выбор конкретной методики оценки рисков зависит от специфики АБС банка и услуг, предоставляемых посредством сети Интернет, а также профессионального уровня риск менеджмента банка. Последний фактор приобретает высокую значимость в свете необходимости применения суждения относительно вероятности наступления риска и качественной его оценки.

    Например, стратегический риск считается высоким в том случае, если наблюдаются следующие факторы:

    -              практика управления риском в банке не согласуется со стратегическими инициативами:

    -              имеются явные недостатки в определении стратегического направления;

    -              стратегические инициативы не в должной мере поддерживаются рабочими принципами и программами, определяющими нормы поведения;

    -              структура и показатели деятельности банка не обеспечивают долгосрочных стратегий;

    -              недостатки в принятии руководящих решений и распознавании риска не позволяют эффективно оценивать новые услуги, виды обслуживания или приобретения;

    -              информационные системы управления, предназначенные для поддержки стратегических инициатив, имеют серьезные недостатки;

    -              стратегические цели неясны или противоречивы и привели к рассогласованию между устойчивостью банка к риску и возможностью мобилизации необходимых ресурсов для их достижения.

    Очевидно, что итоговое оценивание, во-первых, прямо зависит от квалификации того, кто осуществляет оценку, во-вторых, зависит от таких же промежуточных количественных или качественных оценок, в-третьих, не связано с четкими и ясными алгоритмами выявления и анализа факторов риска.

    При внедрении дистанционного банковского обслуживания типа интернет-банкинга, соответственно расширяется состав компонентов рисков и проявляется взаимное влияние между рисками, что неизбежно смещает их оценки. Например, у операционного риска появляются новые компоненты, обусловленные несовершенством защиты банковских автоматизированных систем, правовой риск усугубляется недостаточно глубокими законодательными определениями юридической силы документов, формируемых и передаваемых в электронной форме, а оба эти риска оказывают влияние на репутационный риск, связанный к тому же с возможностями несанкционированного доступа к клиентской информации, циркулирующей в банковской информационной системе. В итоге может повыситься и стратегический риск, поскольку положение банка станет менее устойчивым, в том числе из-за неправильных бизнес решений стратегического характера. Следовательно, для выявления, оценивания, анализа и мониторинга банковских рисков принципиально требуется создание специальной причинно-следственной методологии, причем уникальной для каждого коммерческого банка из за множественных различий в структуре банков, масштабах и сферах их деятельности, архитектуре внутрибанковских систем, аппаратно-программном обеспечении, квалификации персонала и т.п. В то же время принципы, на которых могла бы основываться эта методология, должны быть достаточно общими и универсальными, чтобы их можно было использовать при анализе любого частного банковского риска в любом банковском учреждении независимо от категории и специфики формирования итоговых оценок рисков. Для этого необходимо, прежде всего, сформулировать базовые понятия с учетом смыслового содержания банковской деятельности, затем, исходя из семантики полученных формулировок, определить причины, источники и условия возникновения отдельных банковских рисков в кредитных организациях, далее — определить виды и содержание конкретных последствий влияния выявленных факторов риска по всем затрагиваемым направлениям деятельности и, наконец, разработать практическую методику получения финансовых оценок последствий такого рода и методику воздействия на источники рисков .

    Способы нейтрализации рисков интернет-банкинга: обеспечение информационной безопасности и защиты операций и данных

    Как отмечалось Базельским комитетом по банковскому надзору, широкое использование кредитными организациями информационных технологий обусловливает повышение уровня ряда банковских рисков, прежде всего операционного, стратегического, правового и репутационного. При этом банковская информация — очевидно критически важный ресурс любого кредитно-финансового учреждения. Информационные технологии, которые поддерживают деятельность кредитной организации, обеспечивая сбор, хранение, обработку, передачу и использование данных с применением средств вычислительной техники, являются специфической средой, генерирующей изменения в структуре основных банковских рисков и требующей адекватного управления этими рисками.

    Важнейшими свойствами банковской информации (в электронном либо традиционно бумажном виде) являются:

    -              целостность — соответствие предъявляемым со стороны организации требованиям (актуальность, полнота, непротиворечивость), а также защищенность от разрушения (искажения) и несанкционированного изменения;

    -              конфиденциальность — защищенность информационных ресурсов организации, передаваемых по каналам связи, от несанкционированного (неавторизованного либо случайного) доступа;

    -              доступность — возможность авторизованных пользователей в приемлемые сроки получить доступ к автоматизированным системам и информационным ресурсам организации;

    -              своевременность (предоставления) — соответствие уровня развития автоматизированных систем и информационных ресурсов основным направлениям бизнеса, тактическим и стратегическим целям развития организации.

    При этом нарушение того или иного свойства банковской информации может произойти в результате воздействия угроз, использующих уязвимости.

    Таким образом, кредитная организация должна обеспечивать защиту от угроз, возникающих в связи с использованием информационных технологий, реализация которых может приводить, в частности:

    -              к получению несанкционированного доступа (НСД) к информационным ресурсам, хранящимся на серверах и рабочих станциях корпоративной локальной сети и автоматизированных банковских систем (АБС) (угроза конфиденциальности);

    -              модификации и разрушению информации (угроза целостности);

    -              отказу в обслуживании либо к получению несанкционированного управления элементами АБС (угроза доступности);

    -              ограничению возможностей информационной инфраструктуры, не позволяющему должным образом обеспечить текущие бизнес-процессы и (или) стратегические направления развития бизнеса организации (угроза своевременности).

    Угрозы нарушения целостности информации выступают в качестве причины того, что информационная система либо ее отдельный компонент (компоненты) не будут соответствовать выполнению целей либо функций конкретного подразделения или кредитной организации в целом, при этом поставляемая пользователям информация может быть модифицирована либо уничтожена. К мерам противодействия данным видам угроз можно отнести соблюдение требований нормативно правовой базы в области применения информационных технологий, строгую реализацию последовательности этапов разработки и (или) внедрения АБС, контроль вносимых изменений в программно-аппаратные составляющие АБС, планирование мощности вычислительных средств и количества пользователей, постоянный мониторинг эффективности использования ресурсов, принятие мер по обеспечению информационной безопасности на всех этапах жизненного цикла АБС и т.д.

    Угрозы нарушения конфиденциальности информации реализуются, в частности, в виде неавторизованного и (или) несанкционированного доступа к информации в процессе ее создания, передачи, обработки либо хранения, что может привести к раскрытию, модификации, использованию данных в целях, противоречащих интересам кредитной организации. Существующие механизмы нейтрализации указанных угроз обеспечивают защиту данных на физическом либо логическом уровне (т.е. средствами программного обеспечения), кроме того, обязательной является разработка системы организационных мероприятий по защите информации от НСД.

    Угрозы нарушения доступности информации проявляются в том, что необходимая для бесперебойной работы кредитной организации и принятия управленческих решений информация не сможет быть предоставлена на регулярной основе. К средствам нейтрализации данных видов угроз относятся регулярное резервное копирование всей важной информации, создание резервных центров обработки и хранения данных, принятие мер по физической безопасности средств обработки и хранения информации, эффективная антивирусная защита, наличие плана выхода из чрезвычайной (аварийной) ситуации с проведением его регулярного тестирования и др.

    Угрозы своевременности (предоставления) информации бывают:

    -              внутренние — возникают как следствие неэффективных управленческих решений и проявляются в несоответствии информационных систем, в том числе систем информационной безопасности, направлениям бизнеса кредитной организации. К средствам нейтрализации данных видов угроз относятся наличие в банке планов по развитию информационных технологий, соответствующий статус руководителей службы автоматизации (Chief Information Officer, СЮ) и службы информационной безопасности (Chief Information Security Officer, CISO) с делегированием достаточных прав и наделением необходимых обязанностей в рамках организационно-штатной структуры банка, регулярные совещания по вопросам обеспечения информационной безопасности с участием руководства, наличие разработанных правил и процедур, периодическое обучение пользователей (сотрудников) банка, надлежащее ведение документации и др.;

    -              внешние — проявляются в том, что АБС и ее компоненты не соответствуют стратегическим целям развития кредитной организации. К механизмам противодействия этим угрозам можно отнести периодическое проведение анализа текущей архитектуры АБС (программно-аппаратного комплекса, его физических и логических компонентов) на предмет соответствия стратегии банка и перспективным тенденциям развития ИТ, стратегические и тактические планы модернизации АБС, технико-экономическое обоснование политики закупок аппаратных и программных средств, включая средства защиты информации (СЗИ), наличие методологии проектирования, разработки и внедрения информационных систем и т.п.

    К основным источникам угроз информационной инфраструктуры относятся:

    -              внешние, исходящие от пользователей внешних сетей (атаки из Интернета, злонамеренное использование каналов ДБО и т.п.);

    -              внутренние преднамеренные, исходящие от персонала (пользователей) кредитной организации;

    -              внутренние непреднамеренные, исходящие от пользователей и специалистов ИТ (системных администраторов) вследствие ошибочных действий;

    -              внешние и внутренние разрушающие воздействия (не декларированные возможности в программном обеспечении, компьютерные вирусы);

    -              воздействия окружающей среды, сбои в работе оборудования и программного обеспечения.

    Спецификой новых распределенных технологий, вошедших в современное банковское дело, является виртуальный характер передачи данных при каждом факте удаленного взаимодействия между неким клиентом и обслуживающей его кредитной организацией. Обеспечивающая каждое такое взаимодействие конкретная физическая схема (состоящая из реальных физических объектов) становится фактически виртуальной, т.е. каждый раз создаваемой заново и реально существующей только «здесь и сейчас». Это явление объясняется непредсказуемым характером связей в крупномасштабных сетевых системах, которые создаются множеством каналов связи, маршрутизаторов, компьютерных систем различных провайдеров, межсетевых шлюзов и тому подобных компонентов, которые ранее отсутствовали при электронном взаимодействии кредитной организации и ее клиентов.

    Применение кредитными организациями систем интернет-банкинга характеризуется следующими особенностями, обусловливающими появление принципиально новых угроз:

    1.            Взаимодействие клиента с кредитной организацией происходит посредством удаленного от банка терминала, связанного с кредитной организацией посредством глобальной сети Интернет.

    Это приводит к возможности:

    -              прослушивания и (или) модификации (изменения) данных, передаваемых от терминала к АБС и обратно;

    -              несанкционированного доступа к ресурсам АБС посредством открытой сети Интернет в противоправных целях;

    -              проведения операций от имени клиента кредитной организации лицами, получившими несанкционированный доступ к терминалу.

    2.            Удаленный терминал представляет собой полнофункциональный персональный компьютер, работающий под управлением многозадачной операционной системы, что, в свою очередь, обусловливает:

    -              угрозу проникновения на терминал программного обеспечения, содержащего вредоносный код, вызывающий нештатное функционирование компьютера;

    -              выполнение операций от имени клиента кредитной организации неавторизованными лицами, обладающими правами пользователя (администратора) на компьютере, являющемся терминалом.

    3.            Возможен отказ оборудования, посредством которого клиентам предоставляются услуги интернет-банкинга. Это может произойти в результате как внешних атак (наиболее распространенные атаки, целью которых является выведение информационного объекта из строя — атаки на «отказ в обслуживании» либо «распределенный отказ в обслуживании», при которых используется множество компьютеров «зомби», зараженных специальным вредоносным программным обеспечением), так и технического отказа оборудования организации или внешнего поставщика услуг (предоставляющего, в частности, доступ в Интернет), например аппаратно-программных ошибок либо физического воздействия на соединяющие их линии связи (непроизвольного либо умышленного).

    Тем самым, успешная нейтрализация угроз, возникающих в связи с применением кредитными организациями систем интернет-банкинга, возможна путем решения следующих принципиально новых и сложных задач:

    -              комплексной защиты удаленных узлов (конечных точек), осуществляющих обмен информацией;

    -              идентификации, аутентификации  и авторизации  удаленных пользователей и процессов (программ);

    -              обеспечения конфиденциальности и целостности данных, передаваемых посредством открытой сети Интернет.

    Следует подчеркнуть, что защитные меры должны распространяться на весь информационный контур обмена информацией между клиентом и кредитной организацией, имеющий, как было показано выше, стохастический и виртуальный характер с точки зрения физического прохождения информации (обмена электронными данными), а также охватывать взаимоотношения с провайдерами, предоставляющими кредитной организации определенные услуги (в частности, поддержки функционирования открытых сетевых каналов связи между кредитной организацией и ее клиентами).

    Задачу эффективного противодействия угрозам, возникающим в связи с применением ИТ, призвана решать система управления рисками кредитной организации в области информационных технологий — совокупность взаимосвязанных и взаимодействующих элементов, разрабатывающих и реализующих комплекс мероприятий и процедур, обеспечивающих своевременное выявление (идентификацию), оценку (анализ и измерение) и контроль за основными видами рисков в области ИТ, разработку и осуществление контрмер по их минимизации (ограничению), принятие в результате разумного уровня остаточных рисков. При этом основной целью и критерием эффективности системы управления рисками является обеспечение информационной безопасности (ИБ) — состояния защищенности интересов и целей кредитной организации в информационной сфере, при котором уровень рисков в области информационных технологий находится на приемлемом с точки зрения эффективного и устойчивого функционирования организации уровне.

    Таким образом, обеспечение И Б кредитной организации в широком смысле предполагает комплекс мероприятий, обеспечивающий защиту от угроз, реализация которых может привести к нарушению одного из свойств банковской информации.

    На сегодняшний день имеются широко известные международные подходы к обеспечению ИБ, а также разработан ряд отечественных документов, в той или иной степени учитывающих международную практику в области обеспечения ИБ.

    При всем многообразии подходов и материалов представляется возможным выделить следующие основные необходимые этапы по созданию механизма обеспечения ИБ:

    -              разработка политики информационной безопасности;

    -              определение сферы (границ), в которой обеспечивается режим ИБ;

    -              идентификация и оценка рисков (повышенный уровень безопасности предполагает обязательное выявление и измерение угроз и уязвимостей);

    -              разработка и (или) выбор контрмер, нейтрализующих уязвимости и, тем самым, парирующих угрозы;

    -              разработка и реализация средств и методов контроля соответствия установленным требованиям ИБ.

    Под политикой информационной безопасности, как правило, понимается документ, содержащий определение информационной безопасности организации, описание основных принципов, стандартов, правил и требований, предъявляемых в целях обеспечения ИБ организации, а также пакет сопутствующих организационно-распорядительных документов, определяющих более детальные (частные) политики и процедуры безопасности для отдельных направлений деятельности организации или информационных систем. Политика ИБ должна комплексно охватывать все сферы деятельности организации и включать целый набор управленческих решений, инструкций, а также правил безопасности, описывающих корректные действия сотрудников организации, как в штатном режиме работы, так и в экстренных ситуациях.

    Важно, чтобы политика информационной безопасности регулярно подвергалась пересмотру и актуализации по мере изменения масштабов и профиля деятельности организации, появления новых угроз и уязвимостей в информационно-технологической сфере, а также на основе анализа произошедших инцидентов безопасности. В этой связи, в организации должен быть назначен ответственный за поддержание политики информационной безопасности в актуальном состоянии.

    Практически на этапе выработки политики ИБ обычно решают также следующие вопросы:

    1)            выбор национальных и (или) международных руководящих документов и стандартов в области ИБ, которые позволяют конкретизировать перечень требований и положений политики ИБ (например, в части оценки рисков, управления доступом к информационным активам, наличия процедур резервного копирования и восстановления данных, профилактических и ремонтных работ вычислительного оборудования, выявления и реагирования на инциденты в области ИБ и т.п.);

    2)            обоснование и разработка подходов к обеспечению ИБ, на основе которых осуществляется принятие решения об уровне защищенности информационной системы (ИС) организации. В соответствии с международными подходами, следует обеспечивать либо минимальный (базовый), либо повышенный (полный) уровень защищенности, которые соответственно предполагают либо базовый, либо полный вариант анализа (выявления и оценки) рисков в области ИТ;

    3)            систематизация защитных мер в области обеспечения ИБ по следующим основным уровням: законодательному, административному, процедурному и программно-техническому.

    Законодательный уровень системы обеспечения ИБ предполагает контроль соответствия используемых принципов, подходов, процедур, технологий и конкретных программно-технических средств требованиям действующего законодательства.

    К административному уровню относятся меры, предпринимаемые руководством организации в рамках системы управления банком, при этом основным документом (верхнего уровня) является вырабатываемая политика ИБ, определяющая стратегию организации в области обеспечения ИБ. Данный уровень предполагает, в том числе назначение руководством организации ответственных за разработку, реализацию и периодический пересмотр политики ИБ (включая отдельные сопутствующие частные политики), а также механизм информирования руководства о результатах их деятельности и состоянии дел в области обеспечения ИБ.

    На процедурном уровне вырабатываются меры безопасности, непосредственно осуществляемые персоналом организации, которые должны охватывать все уровни иерархии организационной структуры банка.

    Обычно выделяют следующие области (группы) мер безопасности:

    -              управление персоналом (квалификационные требования к отдельным категориям персонала, отражаемые в должностных инструкциях вопросы обеспечения ИБ, обучение персонала и т.п.);

    -              физическая безопасность (защита вычислительного и телекоммуникационного оборудования);

    -              управление доступом к информационным активам (разграничение доступа к ресурсам вычислительных сетей, компьютерам, приложениям, служебной информации в зависимости от полномочий, которыми наделены пользователи, осуществление контроля за действиями пользователей информационных систем, пресечение попыток несанкционированного доступа к информационным ресурсам организации);

    -              поддержка бесперебойной работы организации (порядок резервного копирования и восстановления информации, регламент проведения ремонтных и восстановительных работ, регулярное тестирование и пересмотр планов по обеспечению непрерывности бизнеса);

    -              реакция на нарушения режима безопасности (обязательность информирования и схема передачи сведений об инцидентах в области ИБ, процедуры анализа и реагирования на инциденты в области ИБ).

    Программно-технический уровень составляет «последний рубеж» в системе обеспечения ИБ. Следует подчеркнуть, что применение программно-технических средств является эффективным только на основе продуманной архитектуры их построения и взаимодействия, объединяющей все средства в единую управляемую систему, способную обеспечить надежную защиту от существующих (выявленных) угроз, а также имеющую возможности развития и противостояния новым (возникающим) угрозам. При этом неотъемлемыми свойствами хорошо организованной системы обеспечения ИБ на программно-техническом уровне являются органичное «встраивание» в существующие процессы обработки и обмена информацией, высокая производительность, сравнительная простота и «дружественность» (удобство) использования.

    В качестве примеров распространенных технических методов и элементов защиты информационной инфраструктуры при использовании систем интернет-банкинга можно привести следующие:

    -              межсетевой экран (брандмауэр, firewall);

    -              средства защиты каналов передачи данных (шифрование и контроль целостности электронной цифровой подписи на основе криптографических алгоритмов);

    -              средства защиты на уровне операционной системы (антивирусные средства, средства контроля запуска ОС, приложений, доступа к информационным ресурсам и т.п.);

    -              средства регламентации доступа (идентификация, аутентификация и авторизация);

    -              инфраструктура открытых ключей (PKI, Public Key Infrastructure);

    -              виртуальные частные сети (VPN, Virtual Public Network);

    -              средства обнаружения и предотвращения вторжений (Intrusion Detection System и Intrusion Prevention System).

    Поскольку в последнее время на вопросах разработки политики ИБ организаций сосредоточены усилия многих специалистов, данный этап удается формализовать все в большей степени, примером чего являются доступные в сети Интернет материалы.

    Следующим этапом является определение границ, в которых обеспечивается режим ИБ, т.е. строится и функционирует система обеспечения ИБ.

    Определение и описание границ системы выполняют по следующим направлениям:

    -              общая структура организации, включая описание существующей структуры, а также тех изменений, которые предполагается внести в связи с модернизацией текущих и внедрением новых бизнес-процессов и соответствующих им информационных систем;

    -              информационные активы, подлежащие защите. Поскольку все информационные активы представляют объективную ценность для организации, необходимо определить систему критериев для их классификации, а также разработать методику получения результатов на основе этих критериев. В частности, базовый уровень информационной безопасности предполагает, что для нейтрализации типового набора наиболее вероятных угроз обязательно должны быть разработаны и приняты контрмеры вне зависимости от вероятности их осуществления и уязвимости основных информационных активов кредитной организации, к которым относятся:

    —           информационные ресурсы: базы данных и файлы данных, системная документация, руководства пользователя, учебные материалы, операционные процедуры и процедуры поддержки, планы обеспечения бесперебойной работы организации, процедуры перехода на аварийный режим и т.п.,

    —           программные ресурсы: прикладное программное обеспечение, системное программное обеспечение, инструментальные средства и утилиты,

    —           физические ресурсы: компьютеры и коммуникационное оборудование, электронные носители данных, другое техническое оборудование (блоки питания, кондиционеры и т.п.), включая схемы их размещения,

    —           сервисы: вычислительные и коммуникационные (сетевые — локальные и открытые) сервисы, другие технические сервисы (отопление, освещение, энергоснабжение и пр.);

    -              существующие (и планируемые в перспективе) технологии ввода, обработки, вывода, передачи и хранения информации, а также обеспечивающие их реализацию математические алгоритмы и формальные задачи, описываемые посредством построения соответствующих моделей обработки информации.

    В более строгом случае (характерном в международной практике для повышенного уровня обеспечения ИБ) классификация имеющихся в распоряжении организации информационных ресурсов предполагает также оценку с точки зрения определения их ценности для функционирования организации. Такую оценку следует проводить по разработанной методике, базирующейся на определенной системе критериев, измеряющих критичность актива для бесперебойной работы организации. Например, информационные ресурсы могут быть классифицированы с точки зрения критичности присущих им свойств информации: доступности (от критической до несущественной), целостности (от критической до незначимой), конфиденциальности (от критической до нейтральной).

    Следует подчеркнуть, что правильная классификация информационных активов является одним из важнейших этапов построения системы обеспечения ИБ, поскольку от скрупулезности и корректности ее осуществления напрямую зависит эффективность и адекватность построения системы защитных мероприятий с точки зрения отражения бизнес-процессов организации, включая и оптимальные вложения финансовых средств в приобретение, и разработку тех или иных компонентов защиты. Причем специфичность данного этапа для каждой конкретной организации, по-видимому, предопределяет то обстоятельство, что на сегодняшний день, пожалуй, не существует устоявшихся общепринятых моделей классификации информационных активов.

    Как правило, результатом выполнения работ на данном этапе является составление ряда документов, определяющих границы системы обеспечения ИБ путем классификации и составления перечней информационных активов организации, подлежащих защите, в зависимости от значения оценки их важности (ценности) для организации, полученной на основе разработанной системы критериев.

    Вопросы идентификации и оценки рисков, включая распространенные технологии выявления угроз и уязвимостей, рассматриваются в предыдущих главах настоящего издания. Применительно к настоящей теме можно добавить лишь то, что на сегодняшний день разработано целое поколение стандартов ИБ, посвященных практическим вопросам организации системы обеспечения ИБ, включающих оценку рисков. К ним, прежде всего, относятся международные и национальные стандарты оценки ИБ и управления ею — ISO 15408, ISO/ IEC 27002 (BS 7799), BSI (ФРГ), NIST (США); стандарты аудита, отражающие вопросы ИБ, — COBIT, SAC, COSO и некоторые другие.

    Особенностью данного поколения стандартов является детальный комплексный учет измеримых показателей ИБ организации, что предполагает и комплексный подход к организации режима ИБ, когда проверяется на соответствие определенным правилам, контролируется и поддерживается не только программно-техническая составляющая ИБ, но и организационно-административные меры по ее обеспечению.

    При этом наличие системы управления информационной безопасностью (Information Security Management), и в частности анализа рисков в области ИТ и управления ими (Risk Management), является обязательным условием организации режима ИБ на предприятии.

    Многие зарубежные национальные институты стандартов и организации, специализирующиеся на комплексном решении проблем ИБ, предложили похожие концепции управления рисками в области ИТ, постулирующие важность периодического анализа и оценки рисков в области ИТ исходя:

    -              из постоянного изменения целей и сферы деятельности бизнеса;

    -              непрерывного появления новых угроз и уязвимостей;

    -              неминуемого в этой связи снижения с течением времени эффективности внедренных мер контроля обеспечения ИБ.

    На этапе выработки стратегии защиты разрабатывается некоторая стратегия, включающая, например, следующие возможные подходы к управлению рисками:

    -              снижение риска путем предотвращения потерь (Loss prevention). Суть данного подхода заключается в разработке превентивных мероприятий, направленных на снижение вероятности наступления неблагоприятного события. При этом выбор защитных мер должен осуществляться с учетом непременного условия: стоимость их проведения не должна превышать размеры возможного ущерба. Например, регулярное техническое обслуживание вычислительного оборудования существенно снижает риск возможных его отказов в процессе эксплуатации;

    -              уменьшение риска путем снижения размера возможных убытков (Loss reduction). Данный метод заключается в разработке превентивных мер, направленных на снижение возможного ущерба (в предположении, что, несмотря на все усилия, неблагоприятное событие все же может произойти), и взаимно дополняет предыдущий. Например, отработанные процедуры регулярного резервного копирования и оперативного восстановления существенно важных данных (информации) позволяют в кратчайшие сроки восстановить работоспособность информационной системы, если отказ вычислительного оборудования в процессе его эксплуатации все же произошел;

    -              отказ от риска (Risk avoidance). Путем ликвидации причин возможного наступления неблагоприятного события можно достаточно просто уклониться от некоторых рисков. Например, физическое отключение web-сервера от локальной сети организации позволяет избежать риска несанкционированного доступа злоумышленников к ресурсам локальной сети посредством сети Интернет;

    -              аутсорсинг риска (Risk outsourcing, иначе — перенос риска). Речь идет о возложении ответственности (в том числе финансовой) за возможное наступление неблагоприятного события на стороннюю (внешнюю по отношению к банку) организацию (провайдера услуг, provider). Например, размещение web-сервера банка в вычислительном комплексе провайдера с обязательством поддержания последним круглосуточной работоспособности web-pecypca. При этом на основе договора с указанной организацией следует, как минимум, четко определить характеристики неблагоприятных событий, зафиксировать механизмы передачи ответственности, а также иметь возможность контроля за действиями сторонней организации в области управления переданными ей рисками;

    -              принятие риска (Risk assumption, Risk taking). Очевидно, что даже путем реализации сложных и изощренных мер в современных условиях постоянного возникновения новых угроз невозможно полностью нейтрализовать (нивелировать) многие виды рисков (т.е. свести вероятность реализации угроз к нулю). Следует четко понимать, что абсолютной 100%ной защиты не существует, остаточные риски присутствуют при любом варианте создания либо реорганизации системы И Б. Тем самым, возникает нетривиальная задача оценить остаточную величину риска, которую организация принимает после реализации всех достаточных (в пределах разумного) мер.

    Таким образом, в результате выполнения данного этапа должна быть предложена стратегия управления всеми выявленными и принятыми организацией во внимание рисками в области ИТ.

    На этапе выбора защитных мер, обеспечивающих режим ИБ, обоснованно выбирается и реализуется комплекс различных мероприятий, реализующих ту или иную стратегию управления рисками. Защитные меры структурируются по законодательному, административному, процедурному и программно-техническому уровням обеспечения И Б. При проведении полного варианта анализа рисков (характерного в международной практике для повышенного уровня обеспечения ИБ) для каждого вида риска следует произвести оценку эффективности реализованного в целях его ограничения комплекса защитных мер.

    Наконец, этап контроля соответствия требованиям ИБ предусматривает проведение на постоянной основе мониторинга системы управления рисками в целях определения соответствия выбранных контрмер целям и задачам бизнеса, декларированным в политике ИБ организации, осуществления переоценки остаточных рисков при изменении внешних обстоятельств и внутренних условий ведения бизнеса. Контрольные мероприятия являются отправной точкой для корректировки системы обеспечения ИБ в целях оптимизации постоянно изменяющегося уровня известных и вновь возникающих рисков.

    Таким образом, обеспечение режима ИБ организации представляет собой целый комплекс мероприятий, основанных на применении разработанных стандартов в области ИБ и непрерывно пересматриваемых в соответствии с утвержденной политикой ИБ организации.

    Подходы к построению системы обеспечения информационной безопасности. В качестве примера современного международного подхода можно рассмотреть международный стандарт безопасности информационных систем ISO/IEC была принята первая часть Британского стандарта BS 7799 «Практические правила управления информационной безопасностью», вышла вторая часть стандарта, относящаяся к вопросам аудита информационной безопасности. Стандарт начали применять на добровольной основе не только в Великобритании, но и в других странах. На сегодняшний день стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также, например, Швеция и Нидерланды. В конце Международная организация по стандартизации (ISO) совместно с Международной электротехнической комиссией (IEC) одобрили разработанный Британским институтом стандартов на базе BS 7799 международный Стандарт ISO/IEC 17799 «Информационные технологии — свод норм и правил управления информационной безопасностью»   . Ряд положений Стандарта был пересмотрен и дополнен с учетом развития современных ИТ и требований к организации режима ИБ, в новом варианте Стандарта много внимания уделено дальнейшему развитию технологий оценки рисков и управления ими. Стандарт был переименован в ISO/IEC 27002. В настоящее время это наиболее распространенный документ среди организаций, которые пользуются подобными стандартами на добровольной основе, однако в нем отсутствует раздел, посвященный аудиту (аналог BS 7799, часть 2).

    К отличительным особенностям Стандарта можно отнести следующие:

    -              ISO/IEC 27002 широко применяется во всем мире, он гармонизирован и введен в действие в нашей стране с 1 января 2007 г.;

    -              ISO/IEC 27002 является документом класса «Good practice», содержащим конкретные практические рекомендации по управлению рисками организации в области информационных технологий;

    -              ISO/IEC 27002 посвящен не столько вопросам обеспечения защиты информации, сколько надлежащему построению и функционированию в организации системы менеджмента информационной безопасности .

    Во введении к Стандарту вводится понятие ИБ как механизма защиты, обеспечивающего конфиденциальность, целостность и доступность информации. Необходимость обеспечения ИБ обусловлена зависимостью организаций от информационных систем и услуг, которая увеличивает их уязвимость по отношению к угрозам ИБ. Подчеркивается, что управление ИБ нуждается, как минимум, в участии всех сотрудников организации, а также может потребоваться участие ее акционеров, клиентов и контрагентов.

    В Стандарте подчеркивается, что требования к обеспечению И Б организации следует определять с учетом следующих факторов:

    -              оценка рисков, которая подразумевает выявление угроз информационным активам, оценку уязвимости данных активов и вероятности реализации угроз, а также измерение возможных последствий реализации угроз;

    -              юридические, законодательные, нормативные и договорные требования, которым должна удовлетворять как сама организация, так и ее контрагенты, включая поставщиков услуг;

    -              специфический набор принципов и требований организации в отношении обработки информации.

    При этом оценка рисков должна представлять собой систематический и периодический процесс, включающий анализ как вероятного ущерба, который может быть нанесен бизнесу в результате нарушений ИБ, так и вероятности реализации таких нарушений на основе существующих уязвимостей и угроз.

    Выбор защитных мер в целях снижения рисков до приемлемого уровня должен основываться на соотношении стоимости их реализации и возможных убытков от их реализации (следует принимать во внимание и факторы, которые не могут быть тривиально представлены в денежном выражении, в частности риск потери деловой репутации).

    Далее Стандартом выделены следующие защитные меры в качестве общепринятой практики в области обеспечения ИБ, пригодные для большинства организаций:

    -              наличие политики информационной безопасности;

    -              разделение обязанностей в области обеспечения ИБ;

    -              обучение персонала вопросам обеспечения ИБ;

    -              наличие процедур информирования об инцидентах в области ИБ;

    -              обеспечение непрерывности функционирования организации.

    При этом особо оговаривается, что, несмотря на важность всех защитных мер, описанных в Стандарте, уместность применения каких либо мер следует определять на основе оценки конкретных рисков, присущих деятельности организации.

    Раздел 1. Сфера применения. Стандарт следует использовать как общую основу для разработки внутренних правил в целях эффективного управления ИБ, а также обеспечения доверия в рамках деловых отношений с внешними структурами.

    Раздел 2. Термины и определения. Перечислены понятия информационной безопасности, оценки рисков и управления рисками.

    Раздел 3. Политика безопасности. Руководству организации следует определить подходы и обеспечивать поддержку и заинтересованность в области обеспечения ИБ посредством утверждения и реализации политики ИБ в рамках всей организации.

    Необходимые требования:

    -              документальное оформление политики ИБ, ее утверждение руководством и доведение до всех сотрудников организации;

    -              назначение руководством ответственного должностного лица, обеспечивающего поддержку и периодический пересмотр политики ИБ.

    Раздел 4. Организационное обеспечение ИБ. В целях обеспечения ИБ необходимо создать структуру управления, обеспечивающую разработку, реализацию и осуществление контроля за внедрением и функционированием ИБ. Такого рода структура предусматривает:

    -              работу специального совета (с участием высшего руководства), к функциям которого относится утверждение и пересмотр политики ИБ, рассмотрение существенных изменений профиля угроз информационным активам, анализ инцидентов ИБ, рассмотрение и утверждение проектов основных руководящих документов в области обеспечения ИБ;

    -              назначение специального должностного лица, отвечающего за обеспечение ИБ;

    -              распределение обязанностей по защите отдельных активов и выполнению конкретных процедур в области ИБ, при этом необходимо обеспечить:

    —           четкое выделение и определение защищаемых активов, а также процедур обеспечения их безопасности,

    —           назначение ответственных за каждый защищаемый актив и процедуру безопасности с детальным документированным описанием их обязанностей,

    —           определение и документирование уровней полномочий пользователей систем;

    -              получение разрешений на использование новых и модернизацию имеющихся информационных систем, предусматривающее одобрение со стороны руководства и ответственного за обеспечение ИБ лица, а также обязательную проверку на совместимость с имеющимися средствами обработки информации; кроме того, здесь подчеркивается важность авторизации при использовании личных средств обработки информации, особенно в сетевой среде;

    -              порядок получения консультаций от специалистов в области ИБ (которые могут быть как сотрудниками организации, так и представителями внешних организаций), в том числе в ходе проведения расследований инцидентов в области ИБ;

    -              поддержание контактов с регулирующими органами, провайдерами услуг в области ИБ, при этом подчеркивается необходимость недопущения обмена конфиденциальной информацией между не уполномоченными на то лицами;

    -              проверку выполнения политики ИБ со стороны службы внутреннего контроля либо внешней организации, специализирующейся на такого рода проверках.

    Особо выделяется вопрос обеспечения ИБ в случае доступа к информационным активам сторонних лиц и организаций. При этом обязательным является проведение оценки рисков, на основе которой вырабатываются защитные меры, согласованные и закрепленные в договоре со сторонней организацией. Обеспечение ИБ в данном случае предусматривает:

    -              оценку рисков, связанных с наличием доступа сторонних организаций, в зависимости от типа доступа (физического или логического), необходимости и достаточности предоставления доступа (следует придерживаться принципа предоставления уровня доступа, минимально необходимого для выполнения задач, поставленных перед сторонней организацией), при этом анализируется тип требуемого доступа, ценность информации, предпринимаемые сторонней организацией защитные меры, а также возможные последствия (угрозы) для обеспечения ИБ, возникающие в связи с открытием доступа сторонней организации. Важным требованием является предоставление доступа сторонней организации только после реализации всех защитных мер и заключения (вступления в силу) договора, определяющего условия предоставления доступа;

    -              включение в договор, заключаемый со сторонней организацией, требований обеспечения ИБ, в том числе принятие сторонней организацией соответствующих защитных мер , а также ответственность сторонней организации (предусматривающую возмещение возможных убытков), которая наступает в том или ином случае при нарушении последней согласованного режима обеспечения ИБ. Рекомендуется рассмотреть следующие положения для возможного включения в договор:

    —           общая политика ИБ,

    —           защита информационных активов (защита конфиденциальности, целостности и доступности активов, при этом особо выделены вопросы определения компрометации активов, возвращения и (или) уничтожения активов по окончании либо в период действия договора, ограничений на копирование и (или) раскрытие информации, обеспечения защиты от вредоносного программного обеспечения, физического доступа, а также методы измерения эффективности защитных мероприятий),

    —           тщательное описание каждой услуги, предоставляемой сторонней организацией,

    —           определение как нормального («штатного»), так и неприемлемого уровня предоставления услуг,

    —           соответствующие обязательства сторон (включая проработку юридических вопросов в области национального законодательства, соблюдение прав на интеллектуальную собственность и авторских прав),

    —           совместное управление доступом (предусмотренные методы доступа, процедуры авторизации доступа и назначение пользователям соответствующих прав, ведение списка авторизованных лиц, уполномоченных на предоставление услуг и пользование ими, с указанием соответствующих прав и привилегий),

    —           мониторинг качества предоставляемых услуг с периодическим формированием и направлением отчетности ответственным лицам (включая согласованные форматы представления отчетов и процедуры их рассмотрения),

    —           проведение мониторинга действий пользователей, а также условий, наступление которых влечет блокировку доступа к тем или иным активам,

    —           право на проведение проверки (аудита) надлежащего исполнения договорных обязательств, как сторонами договора, так и внешней организацией,

    —           процедуры оповещения о возникающих проблемах, а также комплекс мер в случае как нарушения нормального режима предоставления услуг, так и возникновения инцидентов ИБ (включая их расследование),

    —           проработанный и формализованный процесс управления изменениями в процессе предоставления услуг,

    —           обучение пользователей и администраторов систем обеспечению ИБ, — защитные меры в случае привлечения сторонней организацией субподрядчиков в процессе предоставления услуг.

    Отдельно в Стандарте упоминается привлечение сторонних организаций к обработке информации и перечисляется ряд положений, которые следует предусмотреть в договоре со сторонней организацией. В частности, речь идет о процедурах тестирования систем обеспечения ИБ, мерах по обеспечению доступа к конфиденциальной информации исключительно авторизованным пользователям, обеспечении доступности сервисов в случае чрезвычайных ситуаций, физической безопасности оборудования.

    Раздел 5. Классификация и контроль активов. В целях обеспечения эффективной защиты активов организации все ее основные информационные активы подлежат учету, а также назначению ответственных за эти активы лиц (владельцев активов в терминологии Стандарта).

    Необходимые требования:

    -              инвентаризация (опись) информационных активов (информационные ресурсы, программное обеспечение, материальные активы, сервисы);

    -              классификация информации, при которой следует учитывать требования в отношении конфиденциальности, целостности и доступности информации. Считается, что классификация информации является кратчайшим путем для определения, каким образом эта информация должна быть обработана и защищена. Существенным является количество классификационных категорий, поскольку чрезмерно сложные схемы могут оказаться излишне дорогостоящими либо вовсе невыполнимыми. Ответственность за определение классификации единицы информации и периодичность ее пересмотра следует возлагать на владельца информации;

    -              в соответствии с принятой системой классификаций должен быть реализован набор процедур для маркировки (нанесения специального знака) и обработки (копирование, хранение, передача по каналам связи в электронном или письменном виде либо вербально, уничтожение) классифицируемой информации (как в физической, так и в электронной форме). Физические метки наносятся на материальные активы (в том числе носители информации), а для маркировки информационных ресурсов используются электронные аналоги.

    Раздел 6. Обеспечение безопасности со стороны персонала. Снижение рисков, связанных с действиями персонала, является крайне важным направлением обеспечения ИБ.

    В Стандарте подчеркивается, что:

    -              вопросы обеспечения ИБ следует принимать во внимание уже на стадии набора персонала путем проведения соответствующей проверки кандидатов при найме (наличие рекомендаций, оценка подлинности документов, проверка представленного резюме, а также заявленного образования и квалификации), особенно на должности, предполагающие доступ к критически важной информации. В должностных инструкциях (обязанностях) сотрудников должны быть учтены как общие обязанности по соблюдению принятой политики ИБ, так и специфические обязанности по защите конкретных информационных активов или выполнению тех или иных процедур ИБ. Предварительным условием приема на работу должно являться заключение соглашения о соблюдении сотрудником конфиденциальности информации, ставшей ему известной в ходе выполнения своих профессиональных обязанностей. В качестве одного из условий трудового договора следует предусматривать ответственность сотрудника (с указанием мер дисциплинарного воздействия) за нарушение режима ИБ, причем в ряде случаев такая ответственность должна сохраняться в течение определенного промежутка времени и после увольнения сотрудника:

    -              обучение пользователей необходимо проводить с целью ознакомления последних об угрозах и проблемах в области ИБ, оснащения сотрудников знаниями и навыками для обеспечения ИБ в ходе выполнения своих служебных обязанностей, при этом все сотрудники организации (а при необходимости и представители сторонних организаций) должны пройти обучение как правильному обращению с информационными активами, так и процедурам защиты, а также своевременно получать обновленные варианты пересмотренных документов в области ИБ;

    -              следует внедрить формализованный порядок информирования руководства о произошедших инцидентах ИБ, а также утвердить формальные процедуры реагирования на инциденты, предписывающие определенные действия, которые должны быть предприняты после получения сообщения об инциденте. Всем сотрудникам (при необходимости и представителям сторонних организаций) должно быть предписано, выполнять разработанные процедуры информирования об инцидентах, а также сообщать о любых угрозах и (или) недостатках в системах защиты и сбоях в программном обеспечении. Должна быть внедрена система дисциплинарной ответственности сотрудников, нарушивших политику и процедуры обеспечения ИБ. Следует определить также порядок мониторинга инцидентов и сбоев в целях использования данных сведений при анализе эффективности действующих защитных мер.

    Раздел 7. Обеспечение физической защиты. Физическая защита компьютерного и иного оборудования важна как с точки зрения предотвращения несанкционированного доступа со стороны посторонних лиц, так и возможных неблагоприятных техногенных воздействий и природных катаклизмов.

    В этой связи рассматриваются следующие вопросы:

    -              организация особо охраняемых зон, в которых следует размещать средства приема передачи, обработки и хранения важной и конфиденциальной информации. Такая зона образует четко определенный и сплошной периметр безопасности, физическая защита которого организуется несколькими барьерами вокруг нее, предполагающими твердость конструкции помещения, внешнюю защиту периметра от возможного проникновения (замки, укрепленные двери и окна, сигнализация), систему мер на случай техногенных (пожар, взрыв, затопление, отключение электроэнергии и т.п.), природных (например, наводнение, ураган) и антропогенных (в том числе уличные беспорядки) воздействий, контроль доступа (обеспечивает контролируемый доступ только авторизованному персоналу, обладающему соответствующими полномочиями, только в период, обусловленный производственной необходимостью). Подчеркивается необходимость физической изоляции средств обработки и хранения данных, контролируемых самой организацией и сторонними организациями. Также важно обеспечивать размещение резервных информационных ресурсов на безопасном расстоянии от основной зоны;

    -              обеспечение защиты оборудования (включая используемое вне организации) от неблагоприятных воздействий (воровство, пожар, взрыв, задымление, затопление или перебои с водоснабжением, пыль, вибрация, химические эффекты, электромагнитное излучение, прием пищи и курение персонала). Важным также является структурированное, удобное и эргономичное расположение вычислительного и телекоммуникационного оборудования, а также телекоммуникационных и соединительных кабелей. Отдельно рассматривается угроза отключения электроснабжения, для предотвращения которой необходимо, например, предусмотреть наличие нескольких источников подачи электропитания, наличие резервного генератора, установку систем бесперебойного питания (UPS, Uninterruptable Power Supply) адекватной емкости, которые следует подвергать периодическому тестированию в соответствии с рекомендациями производителя.

    Силовые, телекоммуникационные и прочие кабельные сети, используемые для передачи данных, необходимо надежно защищать от возможного несанкционированного доступа (для сканирования информации) либо физического повреждения, а также нужно предусмотреть резервные каналы обмена данными на случай отказа основного канала. Важным фактором обеспечения отказоустойчивости оборудования является его периодическое и документированное техническое обслуживание авторизованным персоналом в соответствии с рекомендациями производителя. В случае отправки оборудования за пределы организации для обслуживания или ремонта следует обеспечивать невозможность доступа посторонних лиц к хранящимся на нем конфиденциальным данным. Необходимо предпринимать меры по обеспечению безопасности при списании (выбытии) оборудования (например, стирание конфиденциальной информации);

    -              общие мероприятия по защите информации должны включать изолирование носителей конфиденциальных и критичных данных (бумажных и электронных), отключение оборудования по окончании работы, обязательное получение разрешений руководства на вынос оборудования либо носителей информации, проведение инвентаризаций и т.п.

    Раздел 8. Передача данных и операционные процедуры.

    В целях обеспечения безопасного функционирования средств управления (приема передачи, обработки и хранения) информацией следует предусмотреть следующее:

    -              определенные политикой ИБ операционные процедуры необходимо документировать в качестве официальных документов, утвержденных руководством, представляющих собой инструкции по выполнению процедур в области управления информацией (включая особый контроль за выводом конфиденциальных данных), обработки ошибок программных средств и действий в нештатных ситуациях (операционных или технических проблем), восстановления работоспособности при системных сбоях, запуска (завершения) работы оборудования, периодического обслуживания систем и оборудования, резервирования данных, ремонта оборудования, обеспечения безопасности помещений с вычислительным и телекоммуникационным оборудованием.

    Изменения в конфигурации оборудования и систем (например, операционных систем, брандмауэров) должны быть документированы и санкционированы руководством, а также протоколироваться в специальных журналах, при этом необходимо предусмотреть способ оповещения об изменениях заинтересованных лиц и механизм последующего восстановления в случае внесения неудачных изменений в конфигурацию.

    Система эффективного реагирования на инциденты ИБ должна включать:

    —           разработанные процедуры в отношении всех возможных типов инцидентов (сбои оборудования и систем, недоступность сервисов, ошибочные действия при вводе и обработке данных, нарушение конфиденциальности), включающие информирование уполномоченных лиц и руководства организации, а также протоколирование инцидентов;

    —           формализованные и контролируемые последовательности действий по ликвидации сбоев систем и устранению последствий инцидентов;

    —           процедуры анализа инцидентов (причин и последствий), приводящие к внедрению средств, предотвращающих повторное их возникновение;

    —           соответствующие меры обеспечения сохранности и защиты контрольных журналов регистрации инцидентов.

    Весьма эффективным является принцип разграничения обязанностей в отношении функций управления, выполнения определенных задач, областей ответственности и контроля. В частности, не следует совмещать в одном лице (в любой комбинации) разработку, исполнение, администрирование и контроль за реализацией некоторой процедуры. Применение данного принципа гарантирует, что сотрудник не может совершить злоупотребление в области своей единоличной ответственности, не будучи обнаруженным.

    Обязательно должны быть разделены среды разработки, тестирования и промышленной эксплуатации информационных систем, а правила ввода программного обеспечения (включая его доработки) в эксплуатацию должны быть разработаны и документированы. Разработчикам систем не следует предоставлять неконтролируемый доступ к системам, находящимся в промышленной эксплуатации, в целях ограничения рисков внедрения недокументированных возможностей и установки не протестированных программ, запуск которых может иметь весьма деструктивные последствия.

    Использование сторонних организаций для управления средствами обработки информации привносит дополнительные угрозы обеспечения ИБ, к которым относятся возможность компрометации (перехвата), модификации или уничтожения данных в сторонней организации.

    Соответствующие защитные меры должны быть разработаны и согласованы со сторонней организацией до заключения договора на предоставление услуг, при этом рассматриваются следующие вопросы:

    —           предоставление сторонней организации минимально необходимой информации с одобрения ее владельца,

    —           корректировка планов по обеспечению непрерывности деятельности,

    —           включаемые в договор принципы и стандарты защиты информации, а также процедуры проверки соответствия установленным требованиям,

    —           распределение обязанностей и процедуры контроля за совместной деятельностью, в том числе информирование и управление инцидентами ИБ;

    -              следует осуществлять анализ и контроль текущей производительности оборудования, а также оценивать будущие потребности с целью своевременного приобретения и ввода необходимых вычислительных мощностей по обработке и хранению информации. Такие прогнозы должны быть согласованы с перспективными планами развития бизнеса, учитывая новые функциональные и системные требования.

    Должны быть определены критерии приемки новых информационных систем, новых версий и обновлений, включая обязательное тестирование программного обеспечения перед приемкой и вводом в промышленную эксплуатацию.

    Ввод каждой новой системы должен сопровождаться пересмотром действующей политики ИБ с целью минимизации новых рисков путем внедрения системы мер обеспечения ИБ, включая обеспечение непрерывности деятельности организации:

    -              защита от вредоносного программного обеспечения должна обеспечиваться с помощью следующих мер:

    —           политикой ИБ должно быть предусмотрено и реализовано соблюдение лицензионных соглашений, и запрет пользователям на установку и использование неразрешенного программного обеспечения,

    —           реализация системы защиты при получении файлов и программного обеспечения посредством внешних сетей либо из прочих источников, включающая обязательную проверку таких файлов на наличие вирусов (желательно в разных узлах прохождения данных, например, на сервере электронной почты, файловом сервере и настольном компьютере),

    —           установка и регулярное обновление антивирусного программного обеспечения,

    —           проведение проверок возможного наличия неавторизованных файлов, а также контроля целостности файлов, обеспечивающих функционирование систем,

    —           установленный порядок действий персонала в случае вирусной атаки, соответствующее обучение сотрудников, система оповещения о новых вирусах и произошедших инцидентах,

    —           соответствующие планы по обеспечению непрерывности деятельности организации (включая восстановление работоспособности важных информационных активов) в случае реализации вирусной атаки;

    -              к регламентным процедурам относятся:

     регулярное резервирование важных данных, периодичность которого зависит от степени критичности информации для функционирования организации, контроль за процедурами резервирования — надлежащее хранение резервных копий в физически безопасном месте на достаточно надежном расстоянии, регулярное тестирование носителей резервных копий, периодическое тестирование процедур восстановления данных,

    —           журнализация произведенных операторами систем действий, в ходе, которой, в частности, отражаются, время начала и завершения работы, действия оператора, ошибки системы, сведения о пользователе,

    —           мониторинг ошибок систем, о которых пользователям необходимо уведомлять уполномоченных лиц и предпринимать корректирующие действия в соответствии с установленными правилами; .

    -              управлению сетевыми ресурсами и сервисами, включая глобальную сеть Интернет, следует уделять серьезное внимание в силу специфики принимаемых рисков, диктующих повышенные меры безопасности в области защиты данных, в частности обеспечения конфиденциальности и доступности передаваемых данных, а также использования строго необходимого количества сетевых сервисов;

    -              обеспечение защиты носителей информации является необходимым в целях предотвращения их возможного повреждения или утраты и должно охватывать:

    —           эксплуатацию сменных носителей данных,

    —           обеспечение безопасной и надежной утилизации после прекращения использования (выбытия) носителей данных,

    —           процедуры обработки и хранения информации, включая маркировку носителей информации и регистрацию авторизованных получателей,

    —           защиту документации (безопасное хранение, доступ только со стороны авторизованных лиц, защитные меры при передаче через внешние сети);

    -              обмен информационными и программными ресурсами следует защищать в целях предотвращения возможностей их перехвата, модификации либо потери. Обмен информацией обязательно должен происходить на основе заключенных договоров, в которых необходимо предусматривать меры безопасности в зависимости от степени конфиденциальности информации, являющейся предметом обмена.

    Следует обеспечивать защитные меры в отношении целостности и доступности информации, размещенной в системах публичного доступа, в том числе на web-сервере в сети Интернет, при этом размещенная информация должна быть авторизована и одобрена руководством организации.

    Раздел 9. Контроль доступа. Доступ к важным для организации информационным активам следует контролировать, при этом рассматривается ряд направлений такого контроля:

    -              контроль логического доступа используется в целях исключения произвольного распространения информации. Правила контроля доступа и права каждого пользователя должны быть четко определены в политике логического доступа, о чем должны быть извещены пользователи и поставщики услуг организации. Необходимо четко структурировать весь объем данных, охватываемых бизнес-приложениями, с введением требований безопасности для каждого конкретного бизнес-приложения. Установление правил доступа должно быть основано на принципе «все должно быть в общем случае запрещено, пока явно не разрешено». Формализованные процедуры предоставления и контроля доступа должны распространяться на все стадии жизненного цикла работы сотрудника организации, от начальной регистрации нового пользователя до его немедленного снятия с регистрации после завершения необходимости предоставления доступа к информационной системе;

    -              доступ сотрудников к многопользовательским системам должен осуществляться с применением уникальных идентификаторов (ID, или имен пользователей), быть письменно разрешенным владельцем актива (руководителем соответствующего функционального подразделения организации) и ограниченным рамками производственной необходимости, а также должен вестись учет всех лиц, зарегистрированных как пользователи той или иной системы (с периодическим пересмотром предоставленных им прав и удалением избыточных идентификаторов пользователей). Предоставление привилегий (любой возможности или средства многопользовательской информационной системы, которые позволяют пользователю обойти средства ее контроля на уровне системы, отдельных приложений либо сервисов) следует строго ограничивать и контролировать, в частности, путем их авторизации и регистрации (включая применение различных идентификаторов пользователя при работе в штатном и привилегированном режиме).

    Необходимо разработать требования в отношении парольной защиты (соблюдение конфиденциальности паролей, требования к их составу, применение одноразовых паролей, периодичность полной смены паролей):

    -              на сотрудников в качестве пользователей и администраторов информационных систем должны быть возложены следующие обязанности:

    —           выполнять установленные требованиями по формированию, смене (немедленной в случае компрометации либо регулярной плановой) и сохранению конфиденциальности паролей,

    —           обеспечивать защиту оборудования, оставленного без присмотра;

    -              в целях контроля доступа к сетевым ресурсам и сервисам следует разработать политику использования сетей (согласованную с общей политикой организации в области контроля доступа), в которой установить ресурсы и сервисы, к которым разрешен доступ, соответствующие процедуры авторизации, а также меры осуществления контроля и процедуры по защите доступа. Обязательным в случае использовании внешних сетей является применение процедуры аутентификации (как пользователей, так и, по возможности, удаленных компьютеров) посредством, например, криптографических средств, аппаратных средств защиты либо определенных протоколов и сервисов. Доступ из внешней сети (в частности, сети Интернет) во внутреннюю локальную вычислительную сеть (ЛВС) организации должен быть строго ограничен, между сетями рекомендуется создать специальный шлюз безопасности (с применением соответствующим образом настроенных программно-аппаратных средств, например брандмауэра и прокси-сервера, для фильтрации и пропуска через него только необходимого трафика), а отдельные сегменты (домены) ЛВС, не взаимодействующие с внешними сетями, необходимо изолировать от них путем организации специальных, так называемых «демилитаризованных зон». Шлюзы безопасности следует применять для фильтрации трафика всех приложений, использующих доступ во внешние сети. При построении сетевых приложений следует, по возможности, выбирать сетевые сервисы, предоставляющие наибольшие возможности обеспечения безопасности;

    -              контроль доступа к операционным системам должен предусматривать определение и проверку личности пользователя, регистрацию успешных и безуспешных попыток доступа, соответствующий уровень аутентификации, ограничение времени работы пользователей в случае необходимости. Хорошей практикой является использование централизованной системы управления паролями;

    -              контроль доступа пользователей к приложениям осуществляется в целях организации доступа только авторизованных пользователей (либо определенных групп пользователей) к явно предоставленным им информации и функциям приложений в соответствии с действующей политикой логического доступа, а также обеспечения защиты от неавторизованного доступа (в том числе с использованием системных утилит);

    -              мониторинг (постоянное отслеживание и журнализация) попыток доступа и действий пользователей в информационных системах производится для фиксации возможных отклонений от требований политики в отношении логического доступа и сбора возможных доказательств в случае возникновения инцидентов  ИБ. Мониторинг дает возможность оценить эффективность реализованных защитных мер в области контроля доступа и их соответствие заявленной в политике модели логического доступа;

    -              в ходе эксплуатации переносных устройств следует учитывать риски, возникающие при их использовании в незащищенной среде. Дистанционный режим работы предполагает принятие соответствующих мер по защите места работы, включая соответствующую организацию такого рода работ.

    Раздел 10. Разработка и сопровождение информационных систем. Требования по обеспечению ИБ должны обязательно учитываться на всех стадиях жизненного цикла информационных систем, в частности на этапах проектирования и разработки, а также сопровождения. Стандарт рассматривает следующие вопросы:

    -              требования обеспечения ИБ (защитные меры и средства контроля, определенные на основе оценки рисков) должны быть явно сформулированы на пред проектной стадии (этапе определения задач и описания системы) и обязательно учтены на стадии проектирования и разработки (доработки) систем. Аналогичным должен быть подход при приобретении готовых прикладных программ. Определение средств обеспечения ИБ на стадии проектирования в общем случае существенно снижает затраты на их внедрение по сравнению с разработкой таких средств после внедрения системы;

    -              защита прикладных систем должна предотвращать возможную потерю, искажение или некорректное использование данных. Средства контроля активности пользователей, встроенные в прикладные системы, должны включать функции мониторинга или журнализации их действий, а также обеспечивать контроль правильности ввода-вывода и обработки данных (двойной ввод с последующей программной сверкой результатов ввода на совпадение , сверка печатных копий с введенными данными, контроль целостности файлов с введенными данными, процедуры реагирования на ошибки ввода данных). К другим средствам контроля можно отнести сверку контрольных сумм, контроль равенства остатков (сверка входящих остатков с исходящими на предыдущей стадии обработки);

    -              использование криптографии позволяет обеспечивать надежную защиту при передаче данных посредством внешних сетей. Шифрование является методом защиты конфиденциальности информации, при его применении важно определить требуемый уровень защиты, рассматривая тип и качество алгоритма шифрования, включая длину криптографических ключей. Цифровая подпись позволяет сохранить (подтвердить) достоверность и целостность электронных документов, она может быть реализована с помощью криптографических методов, основанных на однозначно связанной паре ключей, в которой один (секретный, личный),ключ используется для создания подписи, а другой (открытый, передаваемый корреспондентам) — для проверки подписи. Необходимо обеспечивать строгую конфиденциальность личных ключей, а также целостность открытых ключей. Следует использовать разные криптографические ключи в целях шифрования и цифровой подписи передаваемых электронных документов. Управление ключами предполагает регламентацию их использования и передачи, защиту ключей, сброс секретного ключа в случае компрометации, физическую защиту оборудования, с помощью которого изготавливаются, хранятся и архивируются криптографические ключи;

    -              защита системного программного обеспечения контролирует штатное функционирование информационных систем. С этой целью следует ограничивать и контролировать доступ к системным файлам, ответственность за целостность которых должны нести владельцы либо пользователи прикладных систем;

    -              процедуры разработки и сопровождения информационных систем должны обеспечивать безопасность информации и прикладных систем организации. Руководители, ответственные за прикладные системы, должны нести ответственность за безопасность среды разработки и поддержки.

    Раздел 11. Обеспечение непрерывности деятельности организации. Меры по поддержке непрерывности должны противостоять возможным прерываниям деятельности и обеспечивать защиту важнейших бизнес-процессов от возможных последствий серьезных сбоев либо других чрезвычайных ситуаций.

    В этих целях следует рассмотреть следующие направления:

    -              необходимо, чтобы был выстроен управляемый процесс непрерывной деятельностью организации, который должен включать выявление и оценку соответствующих рисков (используя систематизацию важнейших бизнес-процессов), оценку возможных последствий прерывания бизнес-процессов, разработку стратегии непрерывности бизнеса, формализацию планов обеспечения непрерывности деятельности организации, регулярное тестирование и обновление данных планов, обеспечение органичного встраивания управления непрерывностью в систему управления организацией;

    -              планирование непрерывности деятельности следует начинать с анализа возможных событий, которые могут стать причиной прерывания каждого бизнес-процесса, далее следует оценить риски с целью выявления возможных последствий прерываний деятельности, затем в зависимости от результатов оценки разрабатывается утверждаемый руководством организации стратегический план, определяющий общий подход к обеспечению непрерывности бизнеса. Необходимо также составить планы восстановления операций в требуемые сроки после остановки в рамках каждого важного бизнес-процесса (особое внимание уделяется восстановлению в приемлемые сроки определенных сервисов для клиентов). Необходимо разработать документированные операционные процедуры и обязанности персонала на случай чрезвычайных ситуаций, провести соответствующее обучение сотрудников, осуществлять периодическое тестирование и обновление (корректировку) планов в соответствии с определенным графиком, учитывать и выделять необходимые для аварийного восстановления ресурсы;

    -              планы обеспечения непрерывности деятельности должны иметь единую структуру, содержать четкие условия их приведения в действие и определять лиц, ответственных за осуществление каждого пункта плана. Также необходимо определить процедуры возобновления нормального режима работы после ликвидации последствий чрезвычайных ситуаций. Сопровождение планов в целях их поддержания в актуальном состоянии должно осуществляться ответственными за это лицами на регулярной основе и после внедрения определенных изменений в бизнес-процессах (в рамках управления изменениями), например, в случае корректировок, связанных с персоналом, стратегией бизнеса, инфраструктурой и ресурсами, законодательством, поставщиками и подрядчиками услуг, основными клиентами, процессами (появление новых, существенное изменение или аннулирование существующих), профилем основных банковских рисков.

    Раздел 12. Контроль соответствия установленным требованиям.

    Контролировать выполнение в организации установленных политикой ИБ основных принципов и требований необходимо на постоянной основе в рамках следующих направлений:

    -              контроль соответствия требованиям действующего законодательства осуществляется в целях недопущения любых нарушений норм уголовного и гражданского права, других областей законодательства, требований регулирующих органов, договорных обязательств перед клиентами и поставщиками услуг, а также требований безопасности,

    Важные учетные записи организации необходимо защищать, предварительно классифицировав по типам (например, платежная информация, регистры бухгалтерского учета, записи баз данных, журналы проведенных транзакций, контрольные журналы, операционные процедуры, криптографические ключи и т.п.), с указанием периода безопасного хранения и типа носителя. Следует предусматривать возможность снижения качества либо сбоя носителей, используемых для архивного хранения данных, в связи, с чем необходимо внедрить процедуры проверки возможности штатного доступа к данным (читаемости носителей и целостности хранимой на них информации).

    Особое внимание следует уделять предотвращению нецелевого (нештатного) использования вычислительных средств обработки, передачи и хранения информации, в случае выявления такого использования вследствие контрольных процедур или расследования инцидента И Б на данный факт необходимо обратить внимание непосредственного руководителя в целях принятия мер дисциплинарного воздействия (при этом сотрудники должны быть официально уведомлены как о соответствующем запрете, так и возможных мерах воздействия в случае его нарушения);

    -              безопасность информационных систем необходимо периодически анализировать и тестировать (включая тестирование на проникновение) на соответствие действующей политике ИБ;

    -              следует периодически проводить аудит системы обеспечения И Б на предмет ее соответствия установленным требованиям. Аудит должен осуществляться с использованием специальных инструментальных средств контроля, использование которых не должно угрожать целостности информационных активов организации.

    В заключение краткого обзора отметим, что в рассматриваемом стандарте декларируются лишь общие принципы, которые предлагается конкретизировать применительно к исследуемым информационным системам (в частности, системе интернет-банкинга), следовательно, данный документ предполагает довольно высокие требования к квалификации специалистов, осуществляющих его внедрение, а также проверку на соответствие требованиям стандарта.

    В современной отечественной практике обеспечения ИБ кредитных организаций особую роль играет Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».

    Во взаимодействии с банковским сообществом Банком России были предприняты шаги для решения, пожалуй, основной проблемы в области банковской информационной безопасности — отсутствия стандартизации применительно к финансово-кредитной сфере. В резолюции V Всероссийского форума «Банковская безопасность: состояние и перспективы развития», проходившего, отмечалось: «Поддержать намерение Банка России разработать стандарты обеспечения банковской безопасности и предложить создать соответствующую рабочую группу с участием специалистов коммерческих банков».

    Банк России возглавил процесс создания стандартов информационной безопасности банков. В Банке России состоялось совещание, посвященное вопросам стандартизации деятельности банков по защите информации и информационных технологий. Кроме представителей Банка России, в совещании приняли участие большая группа специалистов коммерческих банков, представители Ассоциации российских банков, Гостех-комиссии РФ, научно-исследовательских институтов и фирм-разработчиков. На совещании были рассмотрены актуальные вопросы обеспечения информационной безопасности банков, итоги работы фирм-разработчиков над выработкой элементов стандарта информационной безопасности, задачи на будущее.

     Итогом совещания явился Протокол , в котором был поддержан курс на разработку корпоративного банковского стандарта информационной безопасности, а также выработан ряд важных требований к будущему стандарту:

    -              простота и понятность;

    -              непротиворечивость терминов и определений;

    -              открытость (под открытостью понимается как возможность развития данного стандарта, так и возможность последующей разработки и интеграции в стандарт документов более низкого уровня — уточняющих, дополняющих и детализирующих положения базового стандарта);

    -              прямое действие стандарта (стандарт не должен требовать для своего применения дополнительных нормативных или распорядительных документов). Требования стандарта должны распространяться на организацию в целом и быть лаконично изложены в виде наилучших практик и опыта решения проблем безопасности;

    -              гармонизация стандарта с отечественными и международными документами, стандартизирующими (или представляющими наилучшие практики) область И Б ИТ;

    -              наличие механизмов актуализации стандарта.

    На базе научно-производственной фирмы «Кристалл» (г. Пенза) прошло первое заседание подкомитета  «Защита информации в кредитно-финансовой сфере», входящего в состав технического комитета «Защита информации» Госстандарта России. Этот подкомитет был образован по инициативе Банка России в целях общенационального нормативного регулирования процессов обеспечения и аудита информационной безопасности в отечественных кредитно-финансовых организациях. Очередное заседание подкомитета рассмотрело представленный текст проекта стандарта, который после внесения редакционных правок был рекомендован Банку России для принятия.

    Во второй редакции был произведен ряд изменений в названиях и порядке изложения некоторых разделов и подразделов, дополнен ряд положений, а также исключено справочное приложение «Термино-системы, используемые в стандарте», которое предполагается изложить в виде отдельного стандарта.

    Стандарт рекомендован для применения (на добровольной основе) в отечественных кредитных организациях путем включения ссылок на него и использования его положений во внутренних нормативных и методических разработках, а также в договорах.

    Структура документа включает следующие основные функциональные разделы:

    -              исходная концептуальная схема (парадигма) информационной безопасности;

    -              основные принципы обеспечения информационной безопасности;

    -              модели угроз и нарушителей информационной безопасности;

    -              политика информационной безопасности;

    -              система менеджмента информационной безопасности;

    -              проверка и оценка информационной безопасности;

    -              модель зрелости управления информационной безопасностью;

    -              направления развития стандарта.

    Парадигма информационной безопасности Стандарта основывается на модели, которая отражает концепцию информационного противоборства собственника и злоумышленника за контроль над информационными активами (включают информацию и инфраструктуру) собственника. При этом злоумышленник, как правило, изучает объект нападения, отрабатывая наиболее эффективный способ реализации своих целей. Поэтому собственник должен стремиться к выявлению следов такой активности, для чего он создает уполномоченный орган — службу обеспечения ИБ (подразделения или лица, ответственные за обеспечение ИБ).

    Главным инструментом собственника является основанный в первую очередь на его опыте прогноз (разработка модели угроз и модели нарушителя) относительно его информационных активов. При этом злоумышленник для достижения своих целей также формирует (явно или нет) модель возможного поведения объекта нападения. Следовательно, чем точнее сделан прогноз, тем ниже риски нарушения ИБ в кредитной организации при минимальных ресурсных затратах. Таким образом, наиболее эффективный способ добиться минимизации рисков нарушения ИБ собственника — разработка на основе точного прогноза политики информационной безопасности      и построение в соответствии с ней системы управления ИБ в организации.

    Деятельность кредитной организации поддерживается входящей в ее состав информационной инфраструктурой, которая обеспечивает реализацию банковских технологий и может быть представлена в виде иерархии следующих основных уровней:

    -              физического (линии связи, аппаратные средства и пр.);

    -              сетевого (сетевые аппаратные средства: маршрутизаторы, коммутаторы и пр.);

    -              сетевых приложений и сервисов;

    -              операционных систем (ОС);

    -              систем управления базами данных (СУБД);

    -              банковских технологических процессов и приложений;

    -              бизнес-процессов организации.

    На каждом из уровней угрозы их источники (в том числе злоумышленники), методы и средства защиты и подходы к оценке эффективности являются различными. При этом организация должна определить конкретные объекты защиты на каждом из уровней информационной инфраструктуры.

    При разработке политики ИБ организации должны использоваться положения Стандарта, определяющие основные принципы ее обеспечения, включая разработку модели угроз и модели нарушителя.

    В Стандарт включены общие требования (правила) ИБ по семи областям, которые должны найти отражение в политике ИБ:

    1)            назначение и распределение ролей и доверия к персоналу;

    2)            стадии жизненного цикла автоматизированной банковской системы;

    3)            защита от НСД, управление доступом и регистрацией в АБС, в телекоммуникационном оборудовании и автоматических телефонных станциях и т.д.;

    4)            антивирусная защита;

    5)            использование ресурсов Интернет;

    6)            использование средств криптографической защиты информации;

    7)            защита банковских платежных и информационных технологических процессов.

    В то же время политика ИБ может рассматривать и другие области обеспечения ИБ (например, обеспечение непрерывности деятельности, физическая защита), отвечающие бизнес-целям кредитной организации.

    В основу принципов управления ИБ организации положены требования регуляторного и процессного характера. Требования регуляторного характера определяют положения организационно-административного свойства, в частности создание и наделение соответствующими полномочиями службы информационной безопасности.

    В соответствии со стандартом BS 77992 рекомендуется выделять четыре основных процесса системы менеджмента ИБ (СМИБ) : 

    1)            планирование процессов выполнения требований ИБ;

    2)            реализация и эксплуатация защитных мер;

    3)            проверка процессов выполнения требований ИБ и защитных мер;

    4)            совершенствование процессов выполнения требований ИБ и защитных мер.

    В целях обеспечения И Б кредитной организации Стандарт предлагает использовать «процессный подход» на базе известной циклической модели Деминга, при этом качество функционирования СМИБ необходимо оценивать по полноте, адекватности и уровню зрелости поддерживаемых ею процессов.

    Результаты оценки (аудита) И Б организации могут быть выражены в терминах уровня зрелости процессов управления ИБ. Стандарт основывается на модели зрелости, определенной стандартом COBIT , которая определяет шесть уровней зрелости организации — с нулевого по пятый. Подчеркивается, что для качественного предоставления основного набора банковских услуг организациям рекомендуется обеспечить уровень зрелости процессов управления ИБ не ниже четвертого, когда «обеспечиваются мониторинг и оценка соответствия используемых в организации процессов. При выявлении низкой эффективности реализуемых процессов менеджмента ИБ обеспечивается их оптимизация. Процессы менеджмента ИБ находятся в стадии непрерывного совершенствования и основываются на хорошей практике. Средства автоматизации менеджмента И Б используются частично и в ограниченном объеме». 

    Разработка и введение рассмотренного стандарта является, безусловно, важным и необходимым шагом в направлении обеспечения ИБ отечественной банковской системы. Основным, часто упоминаемым недостатком стандарта является его недостаточное внимание к специфике деятельности кредитно-финансовых учреждений. Впрочем, Банк России продолжает работу в направлении развитии стандарта совместно с кредитными организациями, принимающими участие в его опытном внедрении, в рамках которого проводится апробация путей практического использования положений стандарта, включая практическую проработку вопроса формирования основ системы оценки ИБ организаций отечественной банковской системы. На сегодняшний день действуют уже четыре стандарта в дополнение к СТО БР ИББС.02006, регламентирующие отдельные аспекты функционирования системы обеспечения ИБ: «Аудит информационной безопасности», «Методика оценки соответствия информационной безопасности требованиям СТО БР ИББС1.02006» , «Методические рекомендации по документации в области обеспечения информационной безопасности», «Руководство по самооценке соответствия информационной безопасности требованиям СТО БР ИББС1.02006» , введенные в действие (два последних документа обладают статусом не стандартов, а рекомендаций 6 области стандартизации Банка России). Распоряжением Банка России № Р1674 с 01.05.2009 вводится в действие уже третья редакция Стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС1.02008, которая развивает, уточняет и детализирует его отдельные требования.



    тема

    документ Коммерческие банки
    документ Банковская система
    документ Банковские риски, надежность и эффективность коммерческих банков
    документ Валютные операции банков
    документ Валютные операции коммерческих банков
    документ История развития, виды и современное состояние банковских систем
    документ Доходы, расходы и прибыль коммерческого банка



    назад Назад | форум | вверх Вверх

  • Управление финансами

    важное

    1. ФСС 2016
    2. Льготы 2016
    3. Налоговый вычет 2016
    4. НДФЛ 2016
    5. Земельный налог 2016
    6. УСН 2016
    7. Налоги ИП 2016
    8. Налог с продаж 2016
    9. ЕНВД 2016
    10. Налог на прибыль 2016
    11. Налог на имущество 2016
    12. Транспортный налог 2016
    13. ЕГАИС
    14. Материнский капитал в 2016 году
    15. Потребительская корзина 2016
    16. Российская платежная карта "МИР"
    17. Расчет отпускных в 2016 году
    18. Расчет больничного в 2016 году
    19. Производственный календарь на 2016 год
    20. Повышение пенсий в 2016 году
    21. Банкротство физ лиц
    22. Коды бюджетной классификации на 2016 год
    23. Бюджетная классификация КОСГУ на 2016 год
    24. Как получить квартиру от государства
    25. Как получить земельный участок бесплатно


    ©2009-2016 Центр управления финансами. Все права защищены. Публикация материалов
    разрешается с обязательным указанием ссылки на сайт. Контакты